Nuova falla in Firefox 3.5. Mozilla: non Ŕ grave

Una vulnerabilitÓ Ŕ stata scovata nell'ultima versione di Firefox, la 3.5.1. Mozilla rassicura e minimizza. Nel frattempo sono arrivate le prime patch per Google 2.0

Roma - A meno di 48 ore di distanza dal rilascio, la scorsa settimana, di Firefox 3.5.1, due esperti di sicurezza hanno scoperto una nuova vulnerabilità nell'ultima versione del celebre browser open source. Sebbene della falla esista già un exploit dimostrativo, Mozilla ha sottolineato che questa non può essere sfruttata per eseguire del codice a distanza.

"Alcune testate giornalistiche e software house dedicate alla sicurezza hanno erroneamente riportato che questo è un bug che può essere sfruttato (da un aggressore, NdR). Le nostre analisi indicano che non è così, ed infatti non abbiamo visto alcun esempio di codice d'attacco in giro", ha commentato in questo post Mike Shaver, dirigente di Mozilla. Shaver ha poi tuttavia ammesso, in un aggiornamento al proprio post, che sotto Windows l'attuale exploit proof of concept causa il crash di Firefox 3.5.x, "almeno per certi utenti".

Dopo la segnalazione di Shaver, sia il National Vulnerability Database che SecurityFocus hanno precisato nei rispettivi advisory che la vulnerabilità può essere utilizzata per attacchi di denial-of-service ma non per l'esecuzione di codice a distanza. Il problema appare dunque meno grave rispetto a quelli corretti la scorsa settimana in Firefox 3.5.0: ciò consentirà probabilmente a Mozilla di sviluppare una patch con meno urgenza.
Shaver ha infine spiegato che il bug interessa anche le versioni Linux e Mac di Firefox 3.5.x, ma in ciascuna piattaforma il problema si verifica all'interno di un componente diverso: la libreria di sistema ATSUI in Mac OS X e nelle librerie pango, glib o libc in Linux. Il livello di gravità, secondo il dirigente, rimarrebbe comunque invariato per tutti i sistemi operativi.

All'incirca nelle stesse ore in cui sono emerse le prime notizie relative alla falla di Firefox 3.5.1, Google ha rilasciato un aggiornamento di sicurezza per la versione stabile di Chrome, la 2.0. Entrambi i bug interessano l'application framework open source WebKit alla base di Chrome, e secondo Google possono essere sfruttati da un aggressore per eseguire del codice a distanza. Maggiori dettagli si trovano in questo advisory.
Notizie collegate
  • SicurezzaPrimo update per Firefox 3.5Mozilla corregge una recente vulnerabilitÓ legata a JavaScript
  • TecnologiaFirefox 3.5 è finalmente sbocciatoLa nuova major release Ŕ completa e disponibile per il download in oltre 70 lingue. Tra le sue principali novitÓ c'Ŕ il supporto ad HTML5 e un motore JavaScript tutto nuovo che promette performance raddoppiate
  • SicurezzaGoogle aggiorna ChromeTappati due buchini, di cui uno potenzialmente brutto brutto. E lodi, tante lodi al sistema di aggiornamento automatico: che fa la forza di BigG e di Mozilla, mentre boccia Safari e Opera
134 Commenti alla Notizia Nuova falla in Firefox 3.5. Mozilla: non Ŕ grave
Ordina
  • Fino a qualche tempo fa, diffusione di firefox a meno del 10% e il linaro tipo diceva "vedete? Per firefox non ci sono bug". Poco tempo fa diffusione al 15%, e il linaro "vedete per firefox ci sono pochissimi bug", oggi diffusione al 20% e il linaro "vedete per firefox i bug vengono fixati in 48 ore". Domani firefox al 25% "nessun software è esente da bug almeno quelli di firefox sono pubblici". Dopodomani diffusione al 25% ... "usate skonquassator, è l'unico browser senza bug".
    non+autenticato
  • - Scritto da: nome e cognome
    > Fino a qualche tempo fa, diffusione di firefox a
    > meno del 10% e il linaro tipo diceva "vedete? Per
    > firefox non ci sono bug". Poco tempo fa
    > diffusione al 15%, e il linaro "vedete per
    > firefox ci sono pochissimi bug", oggi diffusione
    > al 20% e il linaro "vedete per firefox i bug
    > vengono fixati in 48 ore". Domani firefox al 25%
    > "nessun software è esente da bug almeno quelli di
    > firefox sono pubblici". Dopodomani diffusione al
    > 25% ... "usate skonquassator, è l'unico browser
    > senza
    > bug".

    ahahah
  • Secondo me quello che hai scritto è il riassunto del tuo pensiero.
  • e tu sei quello che va in giro a dire di essere un genio dell'IT?

    quindi è come dicevo io, sei solo un povero giocatore di crysis
  • Un semplice ragionamento a chi insiste nel criticare firefox (e qualunque altro software) per i suoi bug.

    1) NON esiste software che sia esente da bug. Ogni software al giorno d'oggi ogni programma è talmente complicato che se mettiamo insieme tutti gli ignoranti che criticano a destra e a manca non capiscono nemmeno l'un per mille di come è fatto un software. Se vuoi siete così bravi, fateli voi.
    2) Firefox è un browser web, la cui area è forse la più movimentata del settore informatico. ╚ quindi ovvio che che l'innovazione veloce sia fondamentale. Ovviamente tutte queste innovazioni rischiano di portarsi dietro dei difetti. Per limitare questi difetti si creano le beta e le rc, ma ci vogliono i tester e normalmente le persone non usano rc o beta (uno dei motivi per cui per esempio fedora 11 installava firefox 3.5 beta4 di default). Se mancano gli utilizzatori delle beta c'è poco da fare.
    3) in funzione del punto precedente e del buon senso informatico si sa che ogni release .0 e a volte .1 possono contenere bug che sono sfuggiti al periodo di test. Quindi se siete così paranoici basta semplicemente evitare di usare firefox 3.5.0 e cominciare a usarlo dopo un mese o anche 2 dal rilascio ufficiale, insomma un tempo ragionevole perché la maggioranza dei bug sia stata fixata
    non+autenticato
  • - Scritto da: Enrico
    > Quindi se siete così
    > paranoici basta semplicemente evitare di usare
    > firefox 3.5.0 e cominciare a usarlo dopo un mese
    > o anche 2 dal rilascio ufficiale, insomma un
    > tempo ragionevole perché la maggioranza dei bug
    > sia stata
    > fixata
    nel frattempo che aspettate uno o due mesi dal rilascio di Firefox 3.5.0 potete cominciare ad usare Chrome così vi dimenticate direttamente di Firefox e viaA bocca aperta
    un giorno vi diranno.. ma non usavi Firefox.. e voi Fireche?
    lroby
    5311
  • - Scritto da: lroby
    > - Scritto da: Enrico
    > > Quindi se siete così
    > > paranoici basta semplicemente evitare di usare
    > > firefox 3.5.0 e cominciare a usarlo dopo un mese
    > > o anche 2 dal rilascio ufficiale, insomma un
    > > tempo ragionevole perché la maggioranza dei bug
    > > sia stata
    > > fixata
    > nel frattempo che aspettate uno o due mesi dal
    > rilascio di Firefox 3.5.0 potete cominciare ad
    > usare Chrome così vi dimenticate direttamente di
    > Firefox e via
    >A bocca aperta
    > un giorno vi diranno.. ma non usavi Firefox.. e
    > voi
    > Fireche?

    Il punto di forza di Firefox, sta nelle sue estensioni. Il browser di google è ancora sprovvisto di questa cosa, quindi dubito che un utente di Firefox, abituato ad Adblock, rinunci facilmente.
    Sgabbio
    26178
  • - Scritto da: Sgabbio
    > Il punto di forza di Firefox, sta nelle sue
    > estensioni. Il browser di google è ancora
    > sprovvisto di questa cosa, quindi dubito che un
    > utente di Firefox, abituato ad Adblock, rinunci
    > facilmente.
    io le estensioni su Firefox non le ho MAI usate.
    installavo ed usavo Firefox SOLO su XP e SOLO perchè IE6.0 non è più completamente compatibile con Facebook (e adesso anche con Youtube)
    su Vista avendo di serie IE7.0 Firefox non veniva nemmeno installato
    lroby
    5311
  • - Scritto da: lroby
    > - Scritto da: Sgabbio
    > > Il punto di forza di Firefox, sta nelle sue
    > > estensioni. Il browser di google è ancora
    > > sprovvisto di questa cosa, quindi dubito che un
    > > utente di Firefox, abituato ad Adblock, rinunci
    > > facilmente.
    > io le estensioni su Firefox non le ho MAI usate.

    Io invece sì e senza il web sarebbe molto peggiore.
    Mi riferisco principalmente ad adblock, ma pure a NoScript e per certi versi Stylish.

    Poi ci sono tutte le estensioni per il web development che uso costantemente, ma queste sono cose specialistiche che interessano a pochi. Finché Google non mi darà le stesse cose, Chrome per me non è un'opzione, né lo è Safari, né lo è Opera. Su IE meglio stendere un velo pietoso.

    Se tu non usi nessuna estensione, vorrà dire che ti piacciono le pagine piene di pubblicità e che rinunci consciamente alla protezione contro attacchi javascript che dà NoScript. In tal caso Chrome potrebbe essere il browser migliore.

    > installavo ed usavo Firefox SOLO su XP e SOLO
    > perchè IE6.0 non è più completamente compatibile
    > con Facebook (e adesso anche con
    > Youtube)
    > su Vista avendo di serie IE7.0 Firefox non veniva
    > nemmeno
    > installato
    non+autenticato
  • la pubblicità è l'anima del commercio =)
    non+autenticato
  • 1 e non aggiornavi a ie7 su xp?
    2 e adblock non sai nemmeno cos'è?
    3 hai detto bene: è ie che non è compatibile con youtube
    tuba
    342
  • - Scritto da: tuba
    > 1 e non aggiornavi a ie7 su xp?
    > 2 e adblock non sai nemmeno cos'è?
    > 3 hai detto bene: è ie che non è compatibile con
    > youtube
    1) no così come non metto IE8 su Vista
    2) so cosa è,cosi come conosco anche noscript
    3) ie6.0 adesso è diventato non più supportato da youtube, fino a pochi giorni fà lo era
    lroby
    5311
  • > Il punto di forza di Firefox, sta nelle sue
    > estensioni. Il browser di google è ancora
    > sprovvisto di questa cosa, quindi dubito che un
    > utente di Firefox, abituato ad Adblock, rinunci
    > facilmente.

    straquoto, ad adblock non rinuncierò mai
    non+autenticato
  • Bravi Bravi, ma non era sicurissimo bellissimo e fantastico?
    ...bisogna aspettare il cadavere sulla riva del fiume...
    non+autenticato
  • Mettiti comodo e portati tanto da leggere.
  • c'e' da chiedersi perche , con tutti il tempo che e' stato in beta , questi bug escono allo scoperto solo adesso.
    mi vien in mente che qualcuno li aveva gia scoperti e aveva taciuto per gettar discredito su Firefox! ...
    ... chi potrebbe mai essere l'interessato??
    2 o 3 nomi mi vengono subito in mente ovviamente ma lascio alla vostra fantasia far l'elenco...

    purtroppo e' una guerra e il primo della classe e'
    quello che viene attaccato di piu'.

    Cmq e' lodevole che gli attacchi ,sopratutto gravi, vengono aggiornati in tempo zero ... sul IE alcuni bug sono durati anni!
    non+autenticato
  • Scrivimi tu un software che sia sempre esente da bug di ogni tipo. Fatto?
  • Come già altri dicono, nessun software esistente è esente da bug.

    E non è il bug da solo a fare la differenza, ma la rapidità con cui viene scovato e la rapidità con cui viene chiuso.

    Per non parlare della sicurezza generale, ok non assoluta (come detto non esiste) ma meglio di IE, che con gli activex è un vero colabrodo, e di patch non ne ho ancora viste....

    E poi firefox, per quanto non perfetto, ha tante altre doti che me lo fanno preferire rispetto a IE.

    Non morirà di certo perchè scoprono dei bug in una versione rilasciata, a mio dire, troppo in fretta.
  • La riprova che un software open non è intrinsecamente più sicuro solo perchè "sotto gli occhi di tutti".
    Ed anche che molte alpha, 5 beta, 3 release candidate con svariate build e un minor release non sono state sufficienti.
  • Mi chiedo, l'articolo lo hai letto?
    Sai come è, stiamo parlando di un bug minore non sfruttabile.
    Cosa centra il tuo commento?
    non+autenticato
  • bug non debuggato nelle varie beta, rc, ecc.ecc.
    Il fatto che non sia sfruttabile è puro colpo di fortuna.
  • Ti rispondi anche da solo?? Deluso
  • c'e' da chiedersi perche , con tutti il tempo che e' stato in beta , questi bug escono allo scoperto solo adesso.
    mi vien in mente che qualcuno li aveva gia scoperti e aveva taciuto per gettar discredito su Firefox! ...
    ... chi potrebbe mai essere l'interessato??
    2 o 3 nomi mi vengono subito in mente ovviamente ma lascio alla vostra fantasia far l'elenco...

    purtroppo e' una guerra e il primo della classe e'
    quello che viene attaccato di piu'.

    Cmq e' lodevole che gli attacchi ,sopratutto gravi, vengono aggiornati in tempo zero ... sul IE alcuni bug sono durati anni!
    non+autenticato
  • Lo hai scritto 8 volte, te lo dico solo qui ma spero tu lo legga:

    Questo bug è legato alla 3.5.1. Non alla 3.5.0, alla 3.5 RC, Beta o Alpha.
  • Più sicuro sì, senza bug non c'è nulla. Wikipedia e l'Enciclopedia Britannica, un paio d'annetti fa, avevano la stessa percentuale di errori... E su Wikipedia non tutto viene controllato costantemente. L'open è decisamente superiore, chiunque leggendo il source può trovare un errore, correggerlo se ne è capace o quanto meno segnalarlo.
  • - Scritto da: Nedanfor
    > Più sicuro sì, senza bug non c'è nulla. Wikipedia
    > e l'Enciclopedia Britannica, un paio d'annetti
    > fa, avevano la stessa percentuale di errori... E
    > su Wikipedia non tutto viene controllato
    > costantemente. L'open è decisamente superiore,
    > chiunque leggendo il source può trovare un
    > errore, correggerlo se ne è capace o quanto meno
    > segnalarlo.

    Ammesso e non concesso che ci siano gli stessi errori ortografici, non credo proprio ci siano gli stessi errori sui dati in generale, come sulle statistiche, sulle date, sulle bufale, sul punto di vista assolutamente non neutrale che certi amministratori hanno infuso nella vicenda sulla corsica (Perle complottiste docet). A proposito di perle complottiste, mi sa che hanno raggiunto una specie d'accordo con wikipedia. Fatto sta che non pubblicano una segnalazione su wikipedia dal 9 giugno.
  • Hai fatto un esempio che non centra nulla.
  • Ottimo browser Firefox....se si vuole essere esposti a continui rischi ovviamente! Linari fate un favore alla vostrà "intelligenza" e seguite questo link:
    http://www.opera.com/download/

    Scoprirete un mondo magico, dove i browser sono fatti da professionisti e FUNZIONANO senza bug clamorosi ogni 2 giorni!

    Oppure continuate pure a difendere l'indifendibile, a voi la scelta Occhiolino
    non+autenticato
  • sei per caso lo stesso uau della pubblicità della microsoft su vista?
  • no no..è il uau di questa pubblicità: http://www.youtube.com/watch?v=vk1sy8zW96MA bocca aperta
    non+autenticato
  • - Scritto da: hash
    > no no..è il uau di questa pubblicità:
    > http://www.youtube.com/watch?v=vk1sy8zW96M

    Ma LOL!Occhiolino

    --
    Saluti, Kap
  • Semplicemente Opera non e' famoso quanto IE e Firefox e i bug non vengono pubblicizzati.

    Inoltre Opera sta invecchiando, mentre Firefox e IE arrancano per innovarsi ( almeno ci provano ), Opera neanche ci prova, si piace cosi', fra 10 anni sara' sempre cosi'.
    non+autenticato
  • Direi che e' da un bel po' che non lo vedi Opera e forse non lo hai mai visto
    non+autenticato
  • Nono l'ho visto eccome, basta guardare la community delle Widgets, praticamente inesistente.

    Firefox ha migliaia di estenzioni.

    Addirittura Chrome ha una comunita' in crescita di sviluppatori di estenzioni.

    Opera e' un buon browser ma che sia al passo dei tempi e' confutabile.
    non+autenticato
  • - Scritto da: Daniele S.
    > Nono l'ho visto eccome, basta guardare la
    > community delle Widgets, praticamente
    > inesistente.
    >
    > Firefox ha migliaia di estenzioni.
    >
    > Addirittura Chrome ha una comunita' in crescita
    > di sviluppatori di
    > estenzioni.
    >
    > Opera e' un buon browser ma che sia al passo dei
    > tempi e'
    > confutabile.

    Peccato che i Widget non sono come le estensioni di Opera.
    Peccato che Opera a differenza di altri browser non seguono "la moda del momento"....

    Mi sa che tu di Opera hai capito poco o nullaA bocca aperta

    PS: Solo perchè è meno diffuso, non vuol dire che i bug non vengono scoperti su opera o che vengono tenuti segretiA bocca aperta
    -----------------------------------------------------------
    Modificato dall' autore il 21 luglio 2009 15.23
    -----------------------------------------------------------
    Sgabbio
    26178
  • - Scritto da: Sgabbio

    > PS: Solo perchè è meno diffuso, non vuol dire che
    > i bug non vengono scoperti su opera o che vengono
    > tenuti segreti

    Non vengono scoperti perché non lo usa nessuno.
    non+autenticato
  • le maggiori innovazioni, come multitab e speed dial, sono state portate da Opera. Se non è un esempio di innovazione...

    my two cents
    non+autenticato
  • - Scritto da: Daniele S.
    > Semplicemente Opera non e' famoso quanto IE e
    > Firefox e i bug non vengono
    > pubblicizzati.

    Come dire:

    Semplicemente Linux non e' famoso quanto Windows e i bug non venogno pubblicizzati.

    Non mi riferisco a Daniele in particolare, ma in generale al fatto che si tende a guardare i browser con un occhio e i SO con un altroSorride
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)