Opera 7 tappa i buchi, acquista la voce

In giornata Opera Software rilascerà una versione aggiornata del proprio browser che corregge alcune voragini di sicurezza. Ieri ha invece debuttato un add-on per Opera per il supporto delle applicazioni vocali

Oslo (Norvegia) - L'ultima versione del noto browser Web sviluppato dalla norvegese Opera Software, la 7.0, contiene cinque vulnerabilità di sicurezza, fra cui alcune di grave entità.

Le cinque falle sono state descritte dalla società di sicurezza GreyMagic in altrettanti advisory rilasciati sul proprio sito Web. Le vulnerabilità classificate ad alto rischio sono tre e permettono, secondo GreyMagic, "il pieno accesso in lettura al file system dell'utente, inclusa la capacità di visualizzare il contenuto delle cartelle, leggere file e accedere alle e-mail".

Tutte le falle più importanti sono relative al modello di sicurezza cross-domain adottato di default da Opera 7, un sistema che, secondo GreyMagic, risulta "inadeguato" e rende possibile, per gli aggressori, sfruttare alcune brecce per accedere ai file locali e infettare il sistema.
Una falla, in particolare, è considerata "devastante" perché potrebbe essere sfruttata da un aggressore per installare cavalli di Troia sul computer della vittima.

"Queste tre falle, combinate, rendono assai semplice (per un aggressore, NdR) sfruttare qualsiasi documento che usa degli script, incluse le risorse locali del tipo file://, per avere accesso all'hard disk dell'utente".

Opera Software ha già annunciato il rilascio, in giornata, di una nuova versione di Opera 7 che dovrebbe risolvere tutte le vulnerabilità scoperte da GreyMagic.

Nel frattempo la società norvegese ha rilasciato, insieme a IBM, il "Multimodal Browser and Toolkit", un software che permetterà agli sviluppatori di costruire applicazioni "multimodal" basate sulla raccomandazione del W3C chiamata "XHTML+Voice (X+V)". Questo standard definisce un'interfaccia ad alto livello per la navigazione delle pagine Web attraverso la voce (telefono) e altre forme d'interazione, come keypad e penne.

La tecnologia multimodal rappresenta uno standard unificato per la telefonia, le applicazioni di sintesi vocali, le interfacce grafiche e altre forme d'interazione disponibili per una vasta gamma di dispositivi, dai PC ai PDA.

Il kit rilasciato da Opera Software permetterà alla versione 7 del proprio browser di visualizzare le pagine scritte nel markup language di X+V.
TAG: sicurezza
41 Commenti alla Notizia Opera 7 tappa i buchi, acquista la voce
Ordina
  • Tutti a sparare contro Microsoft e Internet Explorer e adesso?! Tutti zitti............... uahahhahauahahhauaahahhahaahaauahahahahahaha

    Bella figura di m****... Quanto è durato senza patch il browserone?!
    non+autenticato
  • Crasha in silenzio, tuSorride

    Piwi
    non+autenticato
  • Le societa' di sicurezza in genere si limitano a trovare e descrivere tecnicamente quanto scoperto.
    Sono previste delle scale valori/rischio che danno anche a chi non sia un guru dell'informatica un idea precisa dei rischi che corre nel mantenere, ad esempio, un prodotto non patchato. Questo e' come DOVREBBE essere un report imparziale.
    Vediamo ora un esempio di annuncio tendenzioso, nella fattispecie questo di Graymagic:
    " 1) ... questa vulnerabilita' permette pieno accesso al file system
    2) permette l'accesso a tutte le cartelle del sistema (grazie tante, e' implicito nel punto 1)
    2) permette di leggere LE VOSTRE EMAIL!! (implicito nel punto 1)
    3) permette di INFETTARE IL SISTEMA! (implicito nel punto 1)
    4) permette tramite l'utilizzo di script di fare questo e quell'altro (implicito punto 1)"

    Anche partendo dal presupposto che rendere pubblica una vulnerabilita' alla fine sia un permettere al prodotto di migliorarsi mi domando se una societa' di sicurezza possa "allargarsi" in sto modo e andare in giro a ipotizzare i possibili usi malefici della vunlnerabilita' stessa...mah!

    JimO
    non+autenticato

  • > Anche partendo dal presupposto che rendere
    > pubblica una vulnerabilita' alla fine sia un
    > permettere al prodotto di migliorarsi mi
    > domando se una societa' di sicurezza possa
    > "allargarsi" in sto modo e andare in giro a
    > ipotizzare i possibili usi malefici della
    > vunlnerabilita' stessa...mah!
    >
    eh la full disclosure.....l'avete voluta?
    non+autenticato
  • Non mi dire che iniziano anche loro a rilascira SP per il browser.......

    Iniziamo bene, non era uscito la settimana scorsa la versione 7????

    Mahh mi sa tanto che torno con Netscape e IE e disinstallo Opera
    non+autenticato
  • > Anche partendo dal presupposto che rendere
    > pubblica una vulnerabilita' alla fine sia un
    > permettere al prodotto di migliorarsi mi
    > domando se una societa' di sicurezza possa
    > "allargarsi" in sto modo e andare in giro a
    > ipotizzare i possibili usi malefici della
    > vunlnerabilita' stessa...mah!

    Indubbiamente si! Anzi, a fare una cosa buona e giusta dovrebbero pubblicare anche una specie di guida che spiega esattamente come sfruttare la vulnerabilità. Perchè io si, le patch a regola le installa, ma come faccia a sapere che le falle sono davvero tappate?! Come faccio a testare se la patch ha funzionato? Come faccio a testare se il mio sistema è sicuro?
    non+autenticato

  • > Indubbiamente si! Anzi, a fare una cosa
    > buona e giusta dovrebbero pubblicare anche
    > una specie di guida che spiega esattamente
    > come sfruttare la vulnerabilità. Perchè io
    > si, le patch a regola le installa, ma come
    > faccia a sapere che le falle sono davvero
    > tappate?! Come faccio a testare se la patch
    > ha funzionato? Come faccio a testare se il
    > mio sistema è sicuro?
    Rilasciare codice "proof of concept" e' altresi' usanza delle ditte di sicurezza serie, le stesse che NON si permettono di creare allarmismi ipotizzando catastrofi, ma dan solo informazioni tecniche imparziali.
    Torna nella tua tana che sento i piccoli trollini che piangono il cibo.
    non+autenticato
  • > Rilasciare codice "proof of concept" e'
    > altresi' usanza delle ditte di sicurezza
    > serie, le stesse che NON si permettono di
    > creare allarmismi ipotizzando catastrofi, ma
    > dan solo informazioni tecniche imparziali.
    > Torna nella tua tana che sento i piccoli
    > trollini che piangono il cibo.

    Beh, in questo caso mi sento di dire che l'allarmismo ci vuole................................... Occhiolino
    non+autenticato
  • almeno l'integrazione con l'SO e gli SDK esistenti mi permettono di fare cose impensabili con qualunque altro browser, ci sono i buchi, ma visti i buchi di opera mi tengo quelli di ie
    non+autenticato

  • - Scritto da: Anonimo
    > almeno l'integrazione con l'SO e gli SDK
    > esistenti mi permettono di fare cose
    > impensabili con qualunque altro browser, ci
    > sono i buchi, ma visti i buchi di opera mi
    > tengo quelli di ieù

    Scusa ma proprio in virtù dell'integrazione, i buchi di IE dovrebbero preoccuparti più di quelli di OPERA.

    O no?
    non+autenticato

  • - Scritto da: Anonimo

    > Scusa ma proprio in virtù dell'integrazione,
    > i buchi di IE dovrebbero preoccuparti più di
    > quelli di OPERA.
    >
    > O no?

    Il mex è mio A bocca aperta
    non+autenticato
  • > Scusa ma proprio in virtù dell'integrazione,
    > i buchi di IE dovrebbero preoccuparti più di
    > quelli di OPERA.
    >
    > O no?

    No, perchè comunque se uno potenzialmente può farsi un immagine del mio harddisk senza che me ne accorga mi pare proprio la cosa più grave che possa accadere...

    O no?
    non+autenticato
  • L'exploit è stato segnalato ieri e gia stamattina è presente il nuovo file fixato, i bachi di IE li tappano dopo settimane... ma fammi il piacere torna a casa. Inoltre proprio xche IE fa parte del SO ne caso di crash del primo quasi sempre si porta dietro anche il secondo.
    non+autenticato
  • - Scritto da: Anonimo
    > L'exploit è stato segnalato ieri e gia
    > stamattina è presente il nuovo file fixato,
    > i bachi di IE li tappano dopo settimane...
    > ma fammi il piacere torna a casa.

    La serietà di una società che rilascia due versioni del browser a distanza di due giorni...
    Chissa che significato hanno le parole beta testing in scandinavia....



    non+autenticato
  • > L'exploit è stato segnalato ieri e gia
    > stamattina è presente il nuovo file fixato,
    > i bachi di IE li tappano dopo settimane...
    > ma fammi il piacere torna a casa.

    Fammi un esempio di un bug che hanno fixato dopo "settimane".........................!!

    > Inoltre
    > proprio xche IE fa parte del SO ne caso di
    > crash del primo quasi sempre si porta dietro
    > anche il secondo.

    A me personalmente questo non succede MAI!
    non+autenticato
  • > > i bachi di IE li tappano dopo settimane...
    > > ma fammi il piacere torna a casa.
    > Fammi un esempio di un bug che hanno fixato
    > dopo "settimane".........................!!

    http://www.PivX.com/larholm/unpatched/ e non lo sono
    ancora.
    non+autenticato
  • Ecco leggiti le vurnerabilita di IE relative a Nov e cosa non avevano ancora fixato (sempre da fonte greymagic.com):

    Microsoft patches some holes and leaves a few for later. Microsoft released MS02-066 today. Fixing 9 out of the 11 vulnerabilities we recently discovered.
    The two vulnerabilities left out of Microsoft's patch are "external" and "clipboardData," which were reported in last month's . One of these is still allowing full access to the "My Computer" zone, resulting in arbitrary command execution.
    Hopefully, the remaining vulnerabilities will be addressed in the next few weeks. In the meantime, don't rush to re-enable Active Scripting after applying this patch.
    non+autenticato

  • - Scritto da: Anonimo
    > almeno l'integrazione con l'SO e gli SDK
    > esistenti mi permettono di fare cose
    > impensabili con qualunque altro browser, ci
    > sono i buchi, ma visti i buchi di opera mi
    > tengo quelli di ie


    Contento tu Con la lingua fuoripppppppppppppppp


    non+autenticato
  • (F) è la mia firma.



    Ma perchè l'organizzazione dei bookmark su opera deve essere così ingarbugliata ?? Quella di IE fa senso, ma quella di Mozilla è semplicemente perfetta. Perchè Opera non ha fatto un piccolo sforzo in questa direzione ?
    non+autenticato
  • Perchè ingarbugliata? Io mi trovo benissimo coi bookmark di Opera...sarà questione di abitudine magari.
    non+autenticato

  • - Scritto da: Anonimo
    > Perchè ingarbugliata? Io mi trovo benissimo
    > coi bookmark di Opera...sarà questione di
    > abitudine magari.

    Probabile.
    IMHO ci vuole la mano di un chirurgo e la vista di un falco.
    E poi mi fa sempre casino e non me li ordina mai come voglio io.
    Sarà che non ci so fare.........
    Però con Phoenix/Mozilla i bookmark me li so sistemare A bocca aperta

    Forse è abitudine, ma non credo.
    non+autenticato

  • - Scritto da: Anonimo
    >
    > IMHO ci vuole la mano di un chirurgo e la
    > vista di un falco.
    > E poi mi fa sempre casino e non me li
    > ordina mai come voglio io.

    Io invece ne rimpiango la ricerca incrementale che ti permette di trovare i bookmark in un lampo e rende quasi inutile dividere in cartelle e sottocartelle.
    Magari l'avesse anche MyIE2!

    Simone
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 9 discussioni)