Firefox 3.5, sicurezza a rischio

Si tratta di una vulnerabilitÓ critica. Pu˛ essere sfruttata per diffondere malware

Roma - Secunia riporta in questo advisory dell'esistenza, nell'ultima versione di Firefox, di una seria vulnerabilità legata all'elaborazione del codice JavaScript.

Classificata con il grado di pericolosità "highly critical", Secunia spiega che la falla potrebbe essere sfruttata da malintenzionati per eseguire del codice a distanza e inoculare malware sui PC delle vittime.

La debolezza è stata scoperta nella versione 3.5 di Firefox, rilasciata poche settimane fa, ma Secunia non esclude la sua presenza anche in precedenti release.
Lo scopritore del bug, il ricercatore di sicurezza Simon Berry-Byrne (alias SBerry), ha già divulgato sul sito milw0rm.com il codice di un exploit dimostrativo. Al momento sembra però che tale exploit non sia ancora stato utilizzato per lanciare attacchi.

In attesa che Mozilla rilasci un aggiornamento per il proprio browser, gli esperti raccomandano agli utenti di Firefox di porre molta attenzione ai siti che visitano, evitando il più possibile quelli sconosciuti o di scarsa attendibilità.
48 Commenti alla Notizia Firefox 3.5, sicurezza a rischio
Ordina
  • Ho provato a far girare lo script, fortunatamente il Kaspersky Antivirus lo blocca al volo...
    Phew!!!
    non+autenticato
  • - Scritto da: Pino
    > Ho provato a far girare lo script, fortunatamente
    > il Kaspersky Antivirus lo blocca al
    > volo...
    > Phew!!!

    ti basta modificarlo un po' ed ecco che non lo ricono più ===> fallimento totale degli antivirus!
    non+autenticato
  • - Scritto da: Pino
    > Ho provato a far girare lo script, fortunatamente
    > il Kaspersky Antivirus lo blocca al
    > volo...
    > Phew!!!

    ti basta modificarlo un po' ed ecco che non lo riconoscono più ===> fallimento totale degli antivirus!
    non+autenticato
  • scusate l'ignoranza, ma il problema delle falle di firefox e dei malware agiscono solo su windows o anche su linux? tutti mi dicono che linux è virtualmente immune ai virus perchè ci sono troppe distro, ma in caso di falle nel browser?
  • - Scritto da: taribo99
    > scusate l'ignoranza, ma il problema delle falle
    > di firefox e dei malware agiscono solo su windows
    > o anche su linux? tutti mi dicono che linux è
    > virtualmente immune ai virus perchè ci sono
    > troppe distro, ma in caso di falle nel
    > browser?

    ... Parti col peggior presupposto possibile. "I virus ci sono perché l'OS è diffuso". No, non funge così. In primo luogo, dipende da che falle e di che portata... Tecnicamente, per colpire l'OS devono sempre accedere come root, questo vuol dire che chi ti attacca deve possedere la tua password. Quindi, per far danno attraverso il browser, questo (presuppongo, non sono un grandissimo esperto tutto sommato) deve essere lanciato da root, cosa abbastanza sconsigliata ed inutile.
    Inoltre l'immunità ai malware non esiste: basta installarseli o compilarseli, anche se finché installi software dai repo è quasi impossibile che ci siano problemi di sorta.
    La differenza focale rispetto ai sistemi operativi dove sei sempre root è che il codice non viene eseguito automaticamente con i privilegi di amministratore, questi privilegi devi darglieli tu. Teoricamente, senza l'accesso da root, si possono fare ben pochi danni.

    Spero di esser stato abbastanza chiaro e di non aver sbagliato nullaOcchiolino
    PS. Questo vale anche su tutti gli Unix-like in generale, non solo su Linux.
  • - Scritto da: Nedanfor

    > ... Parti col peggior presupposto possibile. "I
    > virus ci sono perché l'OS è diffuso".
    La premessa giusta è che i virus ci sono ANCHE perchè l'os è più diffuso.

    > No, non
    > funge così. In primo luogo, dipende da che falle
    > e di che portata... Tecnicamente, per colpire
    > l'OS devono sempre accedere come root, questo
    > vuol dire che chi ti attacca deve possedere la
    > tua password. Quindi, per far danno attraverso il
    > browser, questo (presuppongo, non sono un
    > grandissimo esperto tutto sommato) deve essere
    > lanciato da root, cosa abbastanza sconsigliata ed
    > inutile.

    Non mi pare proprio. Esistono lle privilege escalation. Inoltre a me attaccante non serve necessariamente tirnciarti l'os, mi basta tirnciarti il tuo profilo utente.



    > La differenza focale rispetto ai sistemi
    > operativi dove sei sempre root è che il codice
    > non viene eseguito automaticamente con i
    > privilegi di amministratore, questi privilegi
    > devi darglieli tu. Teoricamente, senza l'accesso
    > da root, si possono fare ben pochi
    > danni.
    Molto teoricamente, dal momente che le PE sono una piaga nota e dolorosa.
    non+autenticato
  • - Scritto da: Blackstorm
    > La premessa giusta è che i virus
    > ci sono ANCHE perchè l'os
    > è più diffuso.

    Tant'è che tutti questi virus per i server Linux/Unix non li ho mai visti. Ma comunque è vero: se un sistema operativo avesse solo 5 utenti, nessuno scriverebbe virus per quel sistema operativo. ╚ compito di chi lo programma renderlo sicuro, in ogni caso... A prescindere dal numero di utilizzatori.

    > Non mi pare proprio. Esistono lle privilege
    > escalation. Inoltre a me attaccante non serve
    > necessariamente tirnciarti l'os, mi basta
    > tirnciarti il tuo profilo
    > utente.

    Con le PE diventi in grado di avere i privilegi di root (effettivamente senza bisogno di password, come invece avevo scritto, mea culpa)... Ma è risaputo che ci sono kernel più sicuri di altri, in questa materia. In questo sbaglio?

    > Molto teoricamente, dal momente che le PE sono
    > una piaga nota e
    > dolorosa.

    Esempio di PE su Unix e, possibilmente, per BSD? (Senza che l'utente non faccia mosse suicide, come installarsi un rootkit o lasciare porte spalancate in attesa di visitatori)

    PS. Non è una provocazione... Semplicemente a quanto ne so il kernel BSD è sicuro per quanto riguarda le PE, se non è come penso... Ottimo a sapersi, del resto è sempre meglio sapere i rischi a cui ci si espone.
  • - Scritto da: Nedanfor
    > Esempio di PE su Unix e, possibilmente, per BSD?
    > (Senza che l'utente non faccia mosse suicide,
    > come installarsi un rootkit o lasciare porte
    > spalancate in attesa di
    > visitatori)

    http://www.google.it/search?q=privilege+escalation...
    non+autenticato
  • Tutte quelle che trovo sono patchate... Mi interessano quelle ancora presenti, non quelle che hanno risolto.
  • - Scritto da: Nedanfor
    > La differenza focale rispetto ai sistemi
    > operativi dove sei sempre root è che il codice
    > non viene eseguito automaticamente con i
    > privilegi di amministratore, questi privilegi
    > devi darglieli tu.

    come su Windows Vista, dal 2007
    non+autenticato
  • - Scritto da: dovella
    > - Scritto da: Nedanfor
    > > La differenza focale rispetto ai sistemi
    > > operativi dove sei sempre root è che il codice
    > > non viene eseguito automaticamente con i
    > > privilegi di amministratore, questi privilegi
    > > devi darglieli tu.
    >
    > come su Windows Vista, dal 2007

    Come da Windows NT 3.51, 1995... ma nella pratica, su Windows usano tutti un utente amministratore o includono il proprio utente negli amministratori almeno locali, altrimenti non puoi manco installare un programma!

    cordiali saluti
  • - Scritto da: markoer
    > altrimenti
    > non puoi manco installare un
    > programma!

    io installato tutto da utente limitato, grazie allo UAC di Vista
    non+autenticato
  • Se parli della UAC... Allora per quale motivo la 'depotenzieranno' su Seven? Sinceramente è stata una delle poche novità di Vista a essermi piaciuta, compensa almeno una parte del problema sicurezza.
  • - Scritto da: Nedanfor
    > Se parli della UAC... Allora per quale motivo la
    > 'depotenzieranno' su Seven?

    per colpa dei linari invidiosi che si sono lamentati delle troppe richieste di elevazione privilegi... loro preferiscono avere dei bei accessi negati e digitare a manina sudo tutte le volte...
    non+autenticato
  • A me funziona tutto, non da nessun tipo di problema. Chrome non mi piace per niente!

    Visita il sito:

    http://www.animep2p.net
    non+autenticato
  • - Scritto da: Falco
    > A me funziona tutto, non da nessun tipo di
    > problema. Chrome non mi piace per
    > niente!
    >
    > Visita il sito:
    >
    > http://www.animep2p.net
    De gustibus non disputandibus est
    non+autenticato
  • Da quando ho istallato la versione 3.5 sono iniziati i miei problemi. Crasha in continuazione. Problemi con il flash. Ci impiega più di 30 secondi ad aprirsi. Vorrei passare a chrome ma non ha il lettore rss includo. E poi su chrome manca il pulsante per ritornare alla home page.
    Secondo voi se disinstallo firefox e lo reinstallo di nuovo perdo tutte le password, i preferiti ecc ecc?
    non+autenticato
  • Non perdi niente, vai tranquillo
  • ho reinstallato tutto facendo un'installazione pulita. Adesso è tutta un'altra cosa. Ho dovuto però cancellare il profilo con tutti i dati. Fortunatamente uso foxmark syncronizer e mi ritrovo con tutti i preferiti. Entrando nel profilo ho notato che c'era un file di 240 mb places.sqlite forse era questo a rallentare il tutto
    non+autenticato
  • Qui trovi il motivo e la soluzione per i problemi di rallentamento di firefox: http://www.geekissimo.com/2009/07/11/ottimizzare-i.../
    non+autenticato
  • - Scritto da: Enzino
    > ho reinstallato tutto facendo un'installazione
    > pulita. Adesso è tutta un'altra cosa. Ho dovuto
    > però cancellare il profilo con tutti i dati.
    > Fortunatamente uso foxmark syncronizer e mi
    > ritrovo con tutti i preferiti. Entrando nel
    > profilo ho notato che c'era un file di 240 mb
    > places.sqlite forse era questo a rallentare il
    > tutto

    Anche cookies.sqlite a volte si corrompe e rallenta incredibilmente la digitazione degli url e nella memorizzazione delle password.
    http://support.mozilla.com/tiki-view_forum_thread....
  • > Da quando ho istallato la versione 3.5 sono
    > iniziati i miei problemi. Crasha in
    > continuazione. Problemi con il flash. Ci impiega
    > più di 30 secondi ad aprirsi. Vorrei passare a
    > chrome ma non ha il lettore rss includo. E poi su
    > chrome manca il pulsante per ritornare alla home
    > page.
    Io invece sono contentissimo!
    Sul vecchio carrettone che uso per navigare va benissimoOcchiolino
    P.S. ovviamente il plugin per flash NON è installatoA bocca aperta
    non+autenticato
  • Puoi benissimo installare anche il plug-in, ma poi metti anche FlashBlock, così puoi sceglire con un clic se avviare o meno i componenti Flash del sito che stai visitando.
    non+autenticato
  • - Scritto da: Polemik
    > Puoi benissimo installare anche il plug-in, ma
    > poi metti anche FlashBlock, così puoi sceglire
    > con un clic se avviare o meno i componenti Flash
    > del sito che stai
    > visitando.
    No, grazie!
    Preferisco risolvere il problema alla radiceA bocca aperta
    Il tuo sito è in flash? Hai perso un cliente!!!
    non+autenticato
  • - Scritto da: Enzino
    > E poi su
    > chrome manca il pulsante per ritornare alla home
    > page.

    Vai in "Opzioni -> Impostazioni di base -> Pagina iniziale" e metti la spunta su "Mostra pulsante pagina iniziale nella barra degli strumenti".
    non+autenticato
  • - Scritto da: Francesco
    > - Scritto da: Enzino
    > > E poi su
    > > chrome manca il pulsante per ritornare alla home
    > > page.
    >
    > Vai in "Opzioni -> Impostazioni di base -> Pagina
    > iniziale" e metti la spunta su "Mostra pulsante
    > pagina iniziale nella barra degli
    > strumenti".
    Cavolo non ci avevo mai fatto caso a questa opzione. Grazie
    non+autenticato
  • per RSS c'è Google Reader: forse Google spera che gli utenti di Chrome usino quello e GMail per la posta, insomma i suoi servizi.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)