Roberto Pulito

Browser con l'ansia da Pwn2Own

Anche Apple preparerÓ Safari prima della ormai celebre sfida. Mentre Microsoft non sembra intenzionata ad aggiornare IE per l'evento

Roma - La frenesia da Pwn2Own sta contagiando un po' tutti i browser web. L'imbattuto Chrome ha ulteriormente rinforzato il suo scudo, mentre Firefox ha aggiornato le ultime vulnerabilità individuate per tentare di resistere più a lungo durante le "torture" degli esperti di sicurezza che parteciperanno al contest.

Il prossimo software di navigazione a tirarsi a lucido dovrebbe essere Safari. Il browser di Cupertino dovrà guardarsi le spalle dal nemico giurato Charlie Miller, il ricercatore che per tre anni di fila è riuscito superare le sue difese. Come noto, Safari fu bucato in una manciata di minuti sia nell'edizione del 2009 e che in quella 2010 della manifestazione.

╚ lo stesso sponsor del Pwn2Own, HP TippingPoint, a riferire di un aggiornamento mirato per il software Apple, che potrebbe arrivare solo poche ore prima dell'evento. Del resto, l'azienda di Cupertino ha appena risolto una serie di bug WebKit contenuti in iTunes, senza però entrare troppo nel dettaglio delle vulnerabilità con le descrizioni nel changelog.
A quanto pare, Microsoft non teme le brutte figure come i suoi colleghi e non ha alcuna intenzione di aggiornare Internet Explorer prima della gara hacker prevista per la prossima settimana. Il Patch Tuesday di marzo, atteso per martedì prossimo, non conterrà infatti alcuna nuova correzione dedicata al browser. L'ultima patch di sicurezza per IE risale allo scorso mese.

In parole povere, invece di stanziare risorse extra e affannarsi per rilasciare un Internet Explorer perfettamente aggiornato prima del Pwn2Own, il colosso di Redmond aspetterà le eventuali falle che spunteranno fuori durante la prova "sportiva": per poi sistemare tutto con il consueto cerotto post-contest.

Roberto Pulito
Notizie collegate
59 Commenti alla Notizia Browser con l'ansia da Pwn2Own
Ordina
  • <html>
    <head>
    <script>
    var a;

    for(i=0;i<65536;i++){

    document.write(a+=String.fromCharCode(i));

    }
    </script>
    </head>
    <body/>
    </html>
    non+autenticato
  • Microsoft non teme brutte figure: beh con la reputazione che ha IE9 direi che è difficile fare brutte figure... peggio di così... Con la lingua fuori
    non+autenticato
  • Che ha di male IE9?
  • - Scritto da: fox82i
    > Che ha di male IE9?

    Che e' venuto dopo IE 8, il quale e' venuto dopo IE7, che e' stato successore di IE6 che e' stato il browser piu' odiato di tutti i tempi.
    krane
    22544
  • - Scritto da: krane
    > - Scritto da: fox82i
    > > Che ha di male IE9?
    >
    > Che e' venuto dopo IE 8, il quale e' venuto dopo
    > IE7, che e' stato successore di IE6 che e' stato
    > il browser piu' odiato di tutti i
    > tempi.

    E soprattutto IE9 e' il browser col piu' basso indice di portabilita' su piattaforme diverse e loro versioni.
  • > E soprattutto IE9 e' il browser col piu' basso
    > indice di portabilita' su piattaforme diverse e
    > loro
    > versioni.

    Perché? Esistono altre piattaforme?
    non+autenticato
  • - Scritto da: nome e cognome
    > > E soprattutto IE9 e' il browser col piu' basso
    > > indice di portabilita' su piattaforme diverse e
    > > loro versioni.

    > Perché? Esistono altre piattaforme?

    Si, quelle per uso serio, scommetto che non ne hai mai viste perche' non ci girano i giUochi.
    krane
    22544
  • > Si, quelle per uso serio, scommetto che non ne
    > hai mai viste perche' non ci girano i
    > giUochi.

    No, guarda Windows 2003 server l'ho visto ma Explorer ci gira.
    Pare ci siano altri sistemi ma li usano solo in 500.
    non+autenticato
  • Direi 501 se conti anche Panda Rossa
    non+autenticato
  • Sono rimasto stranito non riuscendo a stampare in PDF da firefox 4 beta 12 e dalla RC1 build1 nightly.
    Poi mi han detto che è un problema noto dalla beta 12.
    http://support.mozilla.com/rm/questions/788993
    Ed allora sono allibito.
    Ma come si fa a pensare a sta gara di cracconi, e sbattersene di un baco del genere (addirittura trascinandolo sulla nightly della RC1).
    Pensavo Mozilla mooooooooooolto meglio (uso ininterrottamente firefox dal lontano numero 1 ...... anzi dai beta 0.999).
  • - Scritto da: lalla63
    > Sono rimasto stranito non riuscendo a stampare in
    > PDF da firefox 4 beta 12 e dalla RC1 build1
    > nightly.
    > Poi mi han detto che è un problema noto dalla
    > beta
    > 12.
    > http://support.mozilla.com/rm/questions/788993
    > Ed allora sono allibito.
    > Ma come si fa a pensare a sta gara di cracconi, e
    > sbattersene di un baco del genere (addirittura
    > trascinandolo sulla nightly della
    > RC1).
    > Pensavo Mozilla mooooooooooolto meglio (uso
    > ininterrottamente firefox dal lontano numero 1
    > ...... anzi dai beta
    > 0.999).

    Stai usando una nightly build di una versione beta, non mi scandalizzerei per un bug simile.
    Al rilascio della versione definitiva, se il bug sarà sempre presente potrai scatenarti quanto vuoi.
  • >
    > Stai usando una nightly build di una versione
    > beta, non mi scandalizzerei per un bug
    > simile.
    > Al rilascio della versione definitiva, se il bug
    > sarà sempre presente potrai scatenarti quanto
    > vuoi.

    Sto usando la nightly build 1 della RC1 e mi sembra estremamente grave (dovrebbe essere la versione infiocchettata per testare solo le installazioni e non le soluzioni dei bachi).
    Mi immagino come sarà ben testata la RC1 quando sarà rilasciata.
    Di questo mi son accorto, chissà quanti altri ce ne sono che non sappiamo.
  • Le nightly build sono compilazioni per gli sviluppatori e NON per l'utente finale. Se usi una nightly build lo fai a tuo rischio e pericolo! La risoluzione bug continua con le RC perché è normale che allargando il bacino di utenti si trovino le situazioni più disparate e quindi bug non individuati prima. In secondo luogo i bug vengono risolti per priorità: il fatto che non l'abbiano ancora risolto significa che ci sono altri bug più urgenti... tutto qua.
    Il bug probabilmente è poco urgente perché per stampare in pdf è possibile usare PdfCreator (che con la beta 12 funziona).
    Da sviluppatore non ci trovo nulla di strano, anzi non capisco il tuo nervosismo.
    non+autenticato
  • Più probabilmente PI vuole creare un po' di cagnara: è noto (basta leggere, ad esempio, qualche articolo di PI dell'anno scorso) che a quel contest non sono ammessi exploit di falle già note al momento della gara, come sono (ed erano l'anno scorso) quelle di FF appena sistemate.
    non+autenticato
  • sì certo, perché le aziende dichiarano sempre TUTTE le falle che tappano con le patch

    ...
  • - Scritto da: Luca Annunziata
    > sì certo, perché le aziende dichiarano sempre
    > TUTTE le falle che tappano con le
    > patch
    >
    > ...

    No, non tutte.
    Solo quelle che rilasciano anche i sorgenti dichiarano tutto.
  • rilasciare i sorgenti non vuol dire dichiarare le falle
    non+autenticato
  • - Scritto da: Steve Robinson Hakkabee
    > rilasciare i sorgenti non vuol dire dichiarare le
    > falle

    Tu quei sorgenti non li hai mai letti, vero?
    Nei commenti c'e' scritto tutto!

    Dichiarar le falle non vuol mica dire indire una conferenza stampa.
    Basta scrivere nel commento che una certa correzione e' stata effettuata per risolvere un potenziale problema.

    Scarichi i sorgenti attuali, quelli precedenti e fai un diff!
  • Bravo!
    Non tutti masticano codice come te! O cmq non tutti hanno tempo di poter stare dietro alle differenze di codice.

    Punti di vista, il punto chiave è forse capire quanto sono corrette le aziende nell'avvisare i propri utenti
  • - Scritto da: fox82i
    > Bravo!
    > Non tutti masticano codice come te! O cmq non
    > tutti hanno tempo di poter stare dietro alle
    > differenze di codice.
    >
    >
    > Punti di vista, il punto chiave è forse capire
    > quanto sono corrette le aziende nell'avvisare i
    > propri
    > utenti

    Bisogna vedere che cosa si intende per correttezza.

    Da una parte c'e' una comunita' open source che si preoccupa di far funzionare le cose, e lo fa alla luce del sole.
    Dall'altra parte c'e' una multinazionale monopolista che si preoccupa di nascondere la polvere sotto il tappeto, lascia al marketing il compito di comunicare all'utente quello che loro ritengono opportuno comunicare, nei modi e nelle forme che ritengono opportuno adottare.


    Nel primo caso, anche se non sai leggere un codice, comunque il fatto che questo sia leggibile (anche dalla concorrenza), garantisce che se ci fosse qualcosa di sporco, qualcuno che ha interesse a farlo ce lo viene sicuramente a raccontare.

    Nel secondo caso, se l'ufficio marketing ritiene di etichettare una falla 0 day che espone il sistema al mondo intero come "not critical", lo fa, e tu lo devi accettare.
  • Nulla da dire in merito,
    però è anche vero che non tutti posso permettersi il lustro di leggere tutto. Sopratutto per quanto riguarda il mondo Open: tante correzioni o cmq continui miglioramenti che portano la lettura del codice ad un specie di cronaca giornaliera.
    Se uno a tempo ben venga per il resto bisogna affidarsi anche "al credere quello che dicono".
    Non è che uno ad ogni falla possa stare li a controllare tutte le problematiche risolti e problemi ancora attivi.. sbaglio?
  • - Scritto da: fox82i
    > Nulla da dire in merito,
    > però è anche vero che non tutti posso permettersi
    > il lustro di leggere tutto.

    Basta che possa qualcuno.
    Del resto operare in una comunita' open source non prevede mica solo scrivere codice.
    Ci sono anche tutte queste attivita' di controllo e verifica che possono essere svolte da persone non skillate in programmazione.

    E comunque tu non credi che tra i markettari M$ non ci sia un intero reparto dedicato a fare le pulci ai codici open col duplice scopo di:
    1) copiare spudoratamente idee altrui
    2) strombazzare quando trovano qualcosa che non va, in modo da dar credito alla security trough obscurity

    > Sopratutto per quanto
    > riguarda il mondo Open: tante correzioni o cmq
    > continui miglioramenti che portano la lettura del
    > codice ad un specie di cronaca
    > giornaliera.

    C'e' chi passa le giornate a leggere il forum di PI c'e' chi le passa a leggere le correzioni ai sorgenti.

    > Se uno a tempo ben venga per il resto bisogna
    > affidarsi anche "al credere quello che
    > dicono".

    Il 90% delle cose che sappiamo si basano al "credere quello che dicono".
    E purtroppo ci sono cose come il TG4 che se ne approfittano spudoratamente.

    > Non è che uno ad ogni falla possa stare li a
    > controllare tutte le problematiche risolti e
    > problemi ancora attivi..
    > sbaglio?

    Lo fanno.
    Qualcuno che lo fa c'e'.
    Il fatto che le cose sostanzialmente funzionano, e che le correzioni vengono fatte, e soprattutto che tutte le botnet sono sempre basate su IE, ne e' la prova.
  • - Scritto da: panda rossa
    > Tu quei sorgenti non li hai mai letti, vero?
    > Nei commenti c'e' scritto tutto!

    ma secondo te nei sorgenti open source trovi i commenti con scritto /* questa funzione ha un bug di sicurezza exploitabile, però adesso non ho tempo di correggerlo e rilasceremo la patch con la prossima versione */

    ???
    non+autenticato
  • ho risposto sotto al tuo compare genio anche lui dell'informatica...
    http://punto-informatico.it/b.aspx?i=3103443&m=310...
    non+autenticato
  • Io ho notato che mozilla ha rilaziato 2 fix nuovi per firefox e thunderbird.... altri fix in cosi breve tempo....paura per la competizione ?
    Sgabbio
    26178
  • Ho pensato la stessa cosa quando ho visto spuntare l'avviso della 3.6.15 Sorride
    non+autenticato
  • Stranamente non c'è un changelog...hmm mi puzza sta cosa.

    Aspetto che rilascino la versione portabileA bocca aperta
    Sgabbio
    26178
  • Mozilla ha uno schifoso modello di sviluppo, rilasciano versioni anche a distanza di 1 giorno, tanto per prendere per i fondelli i suoi utilizzatori. Scrivono codice senza nemmeno testarlo a fondo, si affidano al vento...
    non+autenticato
  • Parli di microsoft ?

    Guarda se c'è una cosa che mi piace di mozilla è che risolvono nel minor breve tempo possibile.

    L'ultimo aggiornamento era su una regressione che appare in alcune situazione, scoperta dopo il rilascio precedente.
    Sgabbio
    26178
  • - Scritto da: Sgabbio
    > Parli di microsoft ?
    >
    > Guarda se c'è una cosa che mi piace di mozilla è
    > che risolvono nel minor breve tempo
    > possibile.

    Il che spiega perché hanno sempre regressioni.

    > L'ultimo aggiornamento era su una regressione che
    > appare in alcune situazione, scoperta dopo il
    > rilascio
    > precedente.

    Testassero un po' meglio... invece di fare a gara con Google a chi rilascia più versioni.
    non+autenticato
  • - Scritto da: Sgabbio
    > Parli di microsoft ?
    >
    > Guarda se c'è una cosa che mi piace di mozilla è
    > che risolvono nel minor breve tempo
    > possibile.
    >
    > L'ultimo aggiornamento era su una regressione che
    > appare in alcune situazione, scoperta dopo il
    > rilascio
    > precedente.

    Di la verità: tu sei romeno o slavo, al limite bulgaro.
    Faccio una fatica a tradurre ciò che scrivi...
    non+autenticato
  • Il perché è molto semplice: Firefox 3.6.14 ha un bug a causa del quale le applet Java vengono visualizzate solo la prima volta.


    Firefox 3.6.15 fixes the following issues found in previous versions of Firefox 3.6:

        * Fixed an issue where some Java applets would fail to load in Firefox 3.6.14
    non+autenticato
  • grazieA bocca aperta Quello è il motivo.

    Pensavo che fecero altri fixbug a nastro per l'eventoA bocca aperta
    Sgabbio
    26178
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)