PDA

Visualizza versione completa : Security Mozilla: Firefox 3.6 ha un buco



Asterix
23-03-10, 07: 56
http://www.blogger.p2pforum.it/gallery/d/59/firefox.pngNel browser del panda rosso c'è una vulnerabilità. Confermato l'advisory Secunia. Una nuova release del software la prossima settimana per tappare la falla
Mozilla: Firefox 3.6 ha un bucoRoma - La seria vulnerabilità di Firefox 3.6 di cui Secunia aveva dato notizia lo scorso 18 febbraio è ora stata ufficialmente confermata da Mozilla. La celebre organizzazione non profit ha fatto sapere in questo post di aver ricevuto "sufficienti dettagli per riprodurre e analizzare il problema".

Mozilla correggerà il bug nella prossima versione di Firefox, la 3.6.2, di cui gli utenti più impazienti possono già scaricare la release candidate da qui (https://ftp.mozilla.org/pub/mozilla.org/firefox/nightly/3.6.2-candidates/build3/). Chi utilizza una versione preliminare di Firefox 3.7 è invece invitato a scaricare la recente alpha 3 (ftp://ftp.mozilla.org/pub/mozilla.org/firefox/nightly/3.7a3-candidates/).

La Foundation precisa che la falla non interessa né le versioni di Firefox precedenti alla 3.6, né Thunderbird e SeaMonkey.
Come si ricorderà, la veridicità della falla era stata messa in dubbio da più parti: il motivo principale è che il suo scopritore, il ricercatore russo Evgeny Legerov, è rimasto a lungo in silenzio prima di fornire i dettagli della debolezza a Mozilla. Come conseguenza, il problema è rimasto sostanzialmente ignorato per settimane.

Poche ore dopo la conferma della falla da parte di Mozilla, Secunia ha pubblicato una nota in cui risponde a chi l'aveva accusata di aver pubblicato una bufala. Il chief security specialist della società danese, Carsten Eiram, ha affermato che i criteri di selezione con cui Secunia seleziona le vulnerabilità sono molto severi, aggiungendo poi che Legerov "è una fonte attendibile che ha già collaborato con noi in diverse occasioni".

"Pertanto, a meno che non troviate prove evidenti (non solo deboli assunzioni e argomentazioni) che quanto da noi pubblicato è un fake o un hoax, potete stare tranquilli che se Secunia pubblica un advisory la vulnerabilità è reale", ha scritto Eiram.

La scorsa settimana anche Google ha corretto diverse vulnerabilità (http://secunia.com/advisories/39029) nel suo browser Chrome, alcune delle quali potenzialmente gravi. Con l'occasione, BigG ha anche aggiunto alla versione stabile del software alcune nuove funzionalità (http://googlechromereleases.blogspot.com/2010/03/stable-channel-update.html), tra le quali una funzione integrata per la traduzione delle pagine web.

Vale la pena ricordare che tra due giorni si terrà la nota competizione di hacking Pwn2Own 2010 (http://punto-informatico.it/2815128/PI/News/pwn2own-quarta-edizione.aspx), che in passato ha contribuito a far emergere le vulnerabilità di molti browser e sistemi operativi.

Alessandro Del Rosso
Punto-Informatico (http://punto-informatico.it/2837723/PI/News/mozilla-firefox-36-ha-un-buco.aspx)
http://punto-informatico.it/images/ccpi.png (http://creativecommons.org/licenses/by-nc-sa/2.5/it/)

Ale
23-03-10, 09: 17
Mozilla correggerà il bug nella prossima versione di Firefox, la 3.6.2,

E' già disponibile l'aggiornamento direttamente dal browser, basta andare su "Aiuto" e selezionare "Controlla Aggiornamenti" per scaricarlo :sisi

:bai

almenolinno
23-03-10, 14: 13
Puntuali e precisi, Grazie

MarcoStraf
23-03-10, 15: 40
Beh, questa volta per Mozilla la situazione e' imbarazzante

Da piu' di un mese sono stati avvisati di una falla, e solo adesso che l'hacker russo ha fornito piiu' informazioni sono riusciti quindi a metterci un cerotto.

Cosa hanno fatto in questo mese? Due possibilita', ognuna piu' imbarazzante dell'altra: o non hanno fatto nulla, pensando a una bufala, o ci hanno lavorato su ma non sono riusciti a trovarla (il problema e' trovarla: per metterci una pezza in genere bastano poche righe di codice) E non finisce qui: invece di offrire subito una patch volevano aspettare l'uscita di una nuova versione nelle prossime settimane, ma sotto pressione (addirittura da parte del governo tedesco) si sono affrettati d anticipare l'uscita di una nuova versione. Cosa che non rende tranquilli nessuno: quando stabile e' un software che viene reso pubblico in fretta?. Sinceramente, non so proprio cosa stiano pensando quelli di Mozilla ultimamente. Hanno scantonato alla grande, adesso dopo avere tappato la falla devono lavorare sodo per recuperare la loro immagine (e non parlo per screditare Mozilla, in quanto io sono uno dei loro utenti)

Questo fatto mette ancora una volta in risalto la delicatezza dei browser quando sono troppo vicini al sistema operativo, in questo caso il baco era insidiato nel meccanismo di decompressione delle fonti Windows (infatti il problema interessa solo XP e Vista) Un baco piccolo, ma con conseguenze disastrose: puo' mettere un hacker in grado di fare scaricare e fare girare del codice nel computer del browser, all'insaputa dell'utente.