Alfonso Maruccia

Falla zero-day per Mozilla Firefox

Le società di sicurezza avvertono, Mozilla conferma: il browser del panda rosso è affetto da una vulnerabilità già sfruttata per veicolare malware. Tenersi lontani dalla portata del JavaScript

Roma - Nuova vulnerabilità zero-day per Firefox scovata dalle società specializzate in sicurezza: opportunamente sfruttata, la falla può portare alla diffusione di malware attraverso il meccanismo del drive-by-download e al controllo del sistema da remoto. Mozilla conferma tutto elargendo i soliti consigli d'ordinanza e promettendo quanto prima la distribuzione di un fix.

La vulnerabilità colpisce sia la codeline 3.5.X che la più recente 3.6.X del browser Mozilla, e stando a quanto dicono Sophos, Avira, Norman e le altre security
enterprise
è già stata ampiamente usata per diffondere malware ad esempio sul sito dedicato al Premio Nobel per la Pace.

Il sito specifico è piuttosto popolare in questo periodo vista l'assegnazione del Premio al dissidente cinese Liu Xiaobo, tuttavia non vi sono al momento segnali che dietro l'attacco possa esserci la mano diretta o indiretta di Pechino. Il sito del Nobel è attualmente bloccato dalla funzionalità anti-phishing interna di Firefox, dice Mozilla, mentre si dà per scontato che altri siti web siano stati attaccati e modificati in modo da sfruttare la vulnerabilità.
In attesa di nuove versioni di Firefox in grado di rimediare al problema, Mozilla assicura i suoi utenti di essere già al lavoro per lo sviluppo delle opportune pezze. Nel mentre, i netizen saranno più al sicuro disabilitando l'esecuzione di codice JavaScript nelle opzioni del browser e usando la popolare e discussa estensione NoScript.

Alfonso Maruccia
Notizie collegate
236 Commenti alla Notizia Falla zero-day per Mozilla Firefox
Ordina
  • Altri articoli meno importanti vengono aggiornati e quelli relativi alla sicurezza no?
    Capisco che sventolare una falla zero day faccia notizia, ma l'informazione è più importante.

    Mozilla ha lavorato lunedì notte e nel giro di 48 ore dalla segnalazione sono state:
    - rilasciata e testata dal team controllo qualità la versione 3.6.12
    - segnalato problema a Google che ha aggiornato i propri filtri anti-phishing.
    - segnalato problema alle società antivirus che hanno aggiornato le proprie firme.

    Direi un'ottimo segnale di salute e di attenzione verso gli utenti.
    non+autenticato
  • Ma punto-informatico, vive grazie ai troll, quindi gli articoli devono rimanere in tono flammatorio, altrimenti i commenti sono pochi.
    non+autenticato
  • Ne stiamo scrivendo un altro.Sorride
  • Io però mi sono spaventato. E già soffro di cuore. E mi è venuta pure un pò di depressione. Vi chiederò i danni.
    non+autenticato
  • - Scritto da: Contrario alla policy
    > Io però mi sono spaventato. E già soffro di
    > cuore. E mi è venuta pure un pò di depressione.
    > Vi chiederò i
    > danni.

    Adotta un pinguino, e passa la paura.
  • > Direi un'ottimo segnale di salute e di attenzione
    > verso gli
    > utenti.

    Si non fosse altro che la falla è stata comunicata a mozilla il 5 ottobre e il sito del premio nobel stesse sparando malware da 3 giorni.
    non+autenticato
  • da questa mattina e' gia' disponibile l'upgrade
    non+autenticato
  • Mi ero illuso, ma neanche Firefox 4 avrà binari ufficiali a 64 bit per Windows.

    BAH, pessima mossa.
    non+autenticato
  • - Scritto da: MAH
    > Mi ero illuso, ma neanche Firefox 4 avrà binari
    > ufficiali a 64 bit per
    > Windows.
    >
    > BAH, pessima mossa.

    http://kb2.adobe.com/cps/000/6b3af6c9.html#main_no...
    Devi ripeterlo ogni volta?
    Shiba
    4018
  • Ripeti ripeti

    http://blogs.adobe.com/flashplayer/2010/09/flash-p...

    > If you’re using a 64-bit browser, I encourage you to install a 64-bit version of Flash Player and give it try
    non+autenticato
  • - Scritto da: MAH
    > Ripeti ripeti
    >
    > http://blogs.adobe.com/flashplayer/2010/09/flash-p
    >
    > > If you’re using a 64-bit browser, I encourage
    > you to install a 64-bit version of Flash Player
    > and give it
    > try

    Che già a 32bit è la causa principale di crash di qualsivoglia browserA bocca aperta
    Shiba
    4018
  • Io mi ero illuso che con Internet explorer 8 a 64bit potessi guardare i video di youtube o di utilizarlo come browser predefinito, ma nulla di tutto ciò, mentre con Ubuntu a 64bit e Firefox a 64bit e pure flash player a64bit
    non+autenticato
  • e poi ancora che ve la prendete tutti con IE
  • Ovvero?

    A Callisto... usalo te quel troiaio di IE
  • no io non lo uso, ma non capisco le crociate
  • I paladini dell'Open Source noto che sono estremamente esaltati dal fatto che sia già pronta la patch.
    Il problema però è: quanti milioni di PC si sono infettati nel frattempo? In particolare, solo sul sito del premio Nobel, quanti si saranno beccati questo malware?

    E poi guarda caso proprio sul sito di un dissidente cinese: non è che il governo cinese ha in tasca degli exploit belli e pronti e li rifila quando gli fa comodo, nooooooooooooo vero?
    D'altra parte non sarebbe tanto difficile per un qualunque governo, figuriamoci per quello cinese; questi sono gli ingredienti per chi stentasse a capire o, peggio, non vuole capire:

    - prendi il codice sorgente di Firefox
    - prendi 200/300 informatici schiavi e falli lavorare giorno e notte (sotto minaccia di spedirli in miniera) per scoprire falle
    - fai amalgamare il tutto ben bene per qualche settimana
    - aggiungete una spolverata di falsa sicurezza Open Source (a piacere)
    - Et voilà, una decina di exploit sono pronti.

    Cotto e mangiato.
  • Fammi capire, Mozilla patcha sempre in 24 massimo 48 ore, Microsoft impiega settimane a volte mesi( a volte molto di più) per patchare le falle di IE o di Windows in generale, se ti poni la domanda su quanti milioni di pc sono rimasti infetti per una falla corretta in nemmeno 24 ore, allora cosa dobbiamo pensare che visto i tempi biblici di Microsoft nel patchare le vulnerabilità, la totalità dei pc Windows è perennemente infetta!? Deluso
  • - Scritto da: gnulinux86
    > Fammi capire, Mozilla patcha sempre in 24 massimo
    > 48 ore, Microsoft impiega settimane a volte mesi(
    > a volte molto di più) per patchare le falle di IE
    > o di Windows in generale, se ti poni la domanda
    > su quanti milioni di pc sono rimasti infetti per
    > una falla corretta in nemmeno 24 ore, allora cosa
    > dobbiamo pensare che visto i tempi biblici di
    > Microsoft nel patchare le vulnerabilità, la
    > totalità dei pc Windows è perennemente infetta!?
    >Deluso

    In effetti si direbbe...
    http://wtc.trendmicro.com/wtc/default.asp
    krane
    22544
  • - Scritto da: gnulinux86
    > Fammi capire, Mozilla patcha sempre in 24 massimo
    > 48 ore, Microsoft impiega settimane a volte mesi(
    > a volte molto di più) per patchare le falle di IE
    > o di Windows in generale, se ti poni la domanda
    > su quanti milioni di pc sono rimasti infetti per
    > una falla corretta in nemmeno 24 ore, allora cosa
    > dobbiamo pensare che visto i tempi biblici di
    > Microsoft nel patchare le vulnerabilità, la
    > totalità dei pc Windows è perennemente infetta!?
    >Deluso

    Impiegherà anche 24/48 ore ma se consideri il numero estremamente elevato di security issues trovati puoi benissimo renderti conto che il tempo totale di esposizione a rischi è comunque troppo.
    Ora, lasciamo un attimo perdere Explorer che è un caso disperato (non l'ho mai usato e mai lo farò) e compariamo la sicurezza di un software chiuso FATTO BENE come Opera e uno aperto come appunto Firefox.
    Notare che il tempo di risoluzione di Opera software è, tra l'altro, in linea con quello di prodotti Open Source.

    Già il numero di falle comunque farebbe propendere all'utilizzo di Opera l'utente più accorto (vedi statistiche di utilizzo in Russia):
    http://secunia.com/advisories/product/26745/
    http://secunia.com/advisories/product/28698/

    Questo poi considerando solo Firefox 3.6.x !!!!!
    È evidente come Firefox sia un colabrodo ed è normale per un software di tale complessità dove anche un dodicenne riesce a trovare bug sul codice APERTO: figurati quanti bug può trovare uno squadrone di tecnici cinesi sotto minaccia! Ma ci arrivi o no?

    Quindi concludo con: software chiuso FATTO BENE vs software open - 4 a 0.
    Palla al centro.
  • Non farneticare, rispondi, gradirei una risposta coincisa con il tuo ragionamento, se Mozilla patcha sempre in 24 massimo 48 ore, Microsoft impiega settimane a volte mesi( a volte molto di più) per patchare le falle di IE o di WINDOWS IN GENERALE, se ti poni la domanda su quanti milioni di pc sono rimasti infetti per una falla corretta in nemmeno 24 ore, allora cosa dobbiamo pensare che visto i tempi biblici di Microsoft nel patchare le vulnerabilità, la totalità dei pc Windows è perennemente infetta!?
    -----------------------------------------------------------
    Modificato dall' autore il 28 ottobre 2010 09.59
    -----------------------------------------------------------
  • - Scritto da: gnulinux86
    > Non farneticare, rispondi, gradirei una rispetta
    > coincisa con il tuo ragionamento, se Mozilla
    > patcha sempre in 24 massimo 48 ore, Microsoft
    > impiega settimane a volte mesi( a volte molto di
    > più) per patchare le falle di IE o di WINDOWS IN
    > GENERALE, se ti poni la domanda su quanti milioni
    > di pc sono rimasti infetti per una falla corretta
    > in nemmeno 24 ore, allora cosa dobbiamo pensare
    > che visto i tempi biblici di Microsoft nel
    > patchare le vulnerabilità, la totalità dei pc
    > Windows è perennemente
    > infetta!?

    È molto semplice il discorso: le falle la cui risoluzione non viene ritenuta critica vengono posticipate: non sono sempre d'accordo ma i motivi alla base sono tanti, prima di tutto il test. Se gli esperti di security in Ms lo fanno pensi che lo facciano senza pensare a pro e contro? Io credo sappiano qualcosina più di te quindi tenterei di essere un pelo più obiettivo a volte.

    Infine, nel momento in cui la falla è "on the wild", viene SEMPRE corretta da Ms nel giro di 3-4 giorni, test compresi, con degli update out of cycle (vedi recente falla di Explorer per la quale il governo tedesco ne aveva sconsigliato l'uso).

    Tu invece che mi dici dei cinesi? Ti piace averli in casa che ti controllano? Non mi meraviglierei se presto, usando Firefox, ti piazzassero un bel rootkit, anche su distro linux (visto il successo di Android come catalizzatore).
  • Magari Ms patchasse le 0day di IE in 3-4 giorni:

    http://secunia.com/advisories/38860/
    Release Date     2010-03-09
    Last Update     2010-04-07

    http://secunia.com/advisories/38209/
    Release Date     2010-01-15
    Last Update     2010-02-16

    Servono fatti, non farneticazioni.
  • - Scritto da: gnulinux86
    > Magari Ms patchasse le 0day di IE in 3-4 giorni:
    >
    > http://secunia.com/advisories/38860/
    > Release Date     2010-03-09
    > Last Update     2010-04-07
    >
    > http://secunia.com/advisories/38209/
    > Release Date     2010-01-15
    > Last Update     2010-02-16
    >
    > Servono fatti, non farneticazioni.

    Vedo che continui con la tua tesi, in parte vera, ma VOLUTAMENTE ESAGERATA. Però di risposte ai miei quesiti non ne vedo mai (tipico).
    Riprendendo sopra: "...anche un dodicenne riesce a trovare bug sul codice APERTO: figurati quanti bug può trovare uno squadrone di tecnici cinesi sotto minaccia! Ma ci arrivi o no?"

    Allora che mi dici di questi cinesi? Sono tutti buoni e presto notificheranno a Mozilla le decine di falle che hanno scoperto o le useranno per veicolare malware, anche se "solo" per 48 ore alla volta, a chi e quando gli fa comodo?

    PS: poi sono molto di più di 48 ore come ti hanno fatto notare.
    -----------------------------------------------------------
    Modificato dall' autore il 28 ottobre 2010 10.11
    -----------------------------------------------------------
  • Non è una mia tesi, ti sto solamente chiedendo di essere coerente con il tuo ragionamento, ma continui a tergiversare, non sono io quello che si lamenta di chi risolve vulnerabili in 24/48 ore, quando qualcun altro impiega mesi, sei tu quello che parli di milioni di pc infetti per via delle tempistiche nel rilasciare le patch.
  • - Scritto da: gnulinux86
    > Non è una mia tesi, ti sto solamente chiedendo di
    > essere coerente con il tuo ragionamento, ma
    > continui a tergiversare, non sono io quello che
    > si lamenta di chi risolve vulnerabili in 24/48
    > ore, quando qualcun altro impiega mesi, sei tu
    > quello che parli di milioni di pc infetti per via
    > delle tempistiche nel rilasciare le
    > patch.

    Sarei io quello che tergiversa?
    Hai proprio la faccia come il....

    Solito tempo perso.
    Ciao e grazie per le non-risposte.
  • Non è colpa mia se i tuoi ragionamenti ti si rivolgono contro al punto che non sei coerente con quello che scrivi.
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | Successiva
(pagina 1/4 - 19 discussioni)