Link alla notizia: http://www.hwupgrade.it/news/sicurezza/mozilla-conferma-una-vulnerabilita-in-firefox_23998.html

In Firefox è presente una falla che potrebbe essere sfruttata per reperire informazioni sulle applicazioni installate nel sistema. Al momento il team di Mozilla sta studiando il problema

Click sul link per visualizzare la notizia.

Beh, non è certo la prima volta che FF ha una vulnerabilità, e questa manco mi pare delle peggiori, tanto da meritarsi una news :confused:

Ma come fa uno a chiamarsi WINDOW? :asd:

che cosa sono i flat addon?
Sono le tutte estensioni o solo alcune?
Adblock e Noscript possono proteggere,o sono anch'essi addon flat?

si ma perchè quando c'è una falla tutti vanno a pubblicizzarla? Ma fatelo DOPO che l'hanno corretta, no? Poi ci si lamenta che si viene attaccati da ip sconosciuti..

si ma perchè quando c'è una falla tutti vanno a pubblicizzarla? Ma fatelo DOPO che l'hanno corretta, no? Poi ci si lamenta che si viene attaccati da ip sconosciuti..Perchè secondo i sostenitori della full disclosure, la divulgazione delle vulnerabilità fa più bene che male. In particolare, storicamente, l'esigenza è nata per contrastare l'abitudine dei produttori di software di nascondere le vulnerabilità senza risolverle.

per fortuna uso Opera

concordo con la full disclosure, ma visto che a quanto pare la vulnerabilità è stata scoperta da loro prima che da qualche malintenzionato.... potevano semplicemente dire che è stata scoperta una vulnerabilità generica, almeno finchè non la si risolve...


"Ma come fa uno a chiamarsi WINDOW?" haha

si ma perchè quando c'è una falla tutti vanno a pubblicizzarla? Ma fatelo DOPO che l'hanno corretta, no? Poi ci si lamenta che si viene attaccati da ip sconosciuti..

Ehm...forse perchè almeno se hai installato tali add-ons li puoi togliere ed evitare di essere attaccato finchè non risolvono il bug? Oppure se non li hai installati di avvisano che è meglio non farlo...:mbe:

concordo con la full disclosure, ma visto che a quanto pare la vulnerabilità è stata scoperta da loro prima che da qualche malintenzionato.... potevano semplicemente dire che è stata scoperta una vulnerabilità generica, almeno finchè non la si risolve...


"Ma come fa uno a chiamarsi WINDOW?" haha

Mozilla ha una policy per le vulnerabilità che vengono riportate/scoperte: vengono rese pubbliche dopo un certo tempo fisso(credo 1 settimana, ma dovrei controllare). Così gli sviluppatori hanno il tempo di controllarne la gravità e prendere provvedimenti urgenti nel caso di vulnerabilità critiche.

Poi uno può rilasciarla pubblicamente invece che in via riservata su bugzilla, ma perde i 500 $ e la maglietta :O.

Window Snyder prima lavorava in Microsoft ed è stata "security lead" di Microsoft Windows XP Service Pack 2 and Windows Server 2003 :D

Sarebbe utile avere una lista di questi add-on flat. Qualcuno me la indicherebbe gentilmente?
Grazie!

download statusbar 0.9.5.3 rattoppa per il momento... non e' una soluzione finale, ma nell'attesa va bene.

Sarebbe utile avere una lista di questi add-on flat. Qualcuno me la indicherebbe gentilmente?
Grazie!

l'hai letta la news o ti sei fermato alle prime 2 righe?

Ehm...forse perchè almeno se hai installato tali add-ons li puoi togliere ed evitare di essere attaccato finchè non risolvono il bug? Oppure se non li hai installati di avvisano che è meglio non farlo...:mbe:

certo, perchè è risaputo che qualsiasi utilizzatore di firefox navighi tutto il giorno per scoprire se hanno trovato un bug e cosa deve "aggiungere/rimuovere" per stare tranquillo.


...

l'hai letta la news o ti sei fermato alle prime 2 righe?

Nella news ne sono specificate solo 2 come esempio ;)

l'hai letta la news o ti sei fermato alle prime 2 righe?

Ma pensa te... ma te le righe che hai letto le hai capite?
:rolleyes:

Nella news ne sono specificate solo 2 come esempio ;)

sono andato a guardare il bug report di mozilla e manco li' c'e' una lista completa quindi...

concordo con la full disclosure, ma visto che a quanto pare la vulnerabilità è stata scoperta da loro prima che da qualche malintenzionato.... potevano semplicemente dire che è stata scoperta una vulnerabilità generica, almeno finchè non la si risolve.
Dicendola pubblicamente più persone possibili ne vengono a conoscenza ed più probabile, statisticamente parlando, di trovare utenti nel mondo che lavorino per risolverla. Visto che la maggioranza della gente usa il computer per usi benevoli rispetto ai malitenzionati (grandissima cazzata) questa divulgazione delle vulnerabilità fa più bene che male.
mia opinione personale

per fortuna uso Opera
Anche io uso Opera e ne sono contento ma per la sua elevata qualità. Anche lui è difettato come tutti i sw del mondo; ci saranno sempre nuove di vulnerabilità, all'infinito, è normale.

la questione sul security patch disclosure di Mozilla è molto semplice.

Essendo firefox un progetto open source tutto il codice e le patch sono sotto gli occhi di tutti, per cui se vengono scovati 10 bug di sicurezza, tutti e 10 saranno noti al pubblico (mozilla tra l'altro ha un blog dedicato a queste patch, in cui vengono puntualmente pubblicati tutti i bug scovati).
In un software closed quale può essere opera o ie, gli unici bug scovati sono quelli che qualche hacker è andato a scovare volutamente, in realtà non sappiamo dietro le quante quanti bug di sicurezza abbiano fixato i due team di sviluppo con nuove versioni o patch.
Questo non-full disclosure delle reali patch non è solo controproducente da un punto di vista del marketing (poco tempo fa il team di ie7 ha annunciato che avevano fixato pochi bug di sicurezza, solo che il conto lo faceva solo su quelli noti, non su quelli sistemati internamente), ma anche da un punto di vista della nostra sicurezza come utenti (potrebbero decidere di sistemare un bug dopo 6 mesi tanto noi non ne siamo a conoscenza)
Il vantaggio di Mozilla è che non può permetterselo, se qualcuno trova un bug sarà noto a tutti entro una settimana, e la patch deve essere rilasciata prima possibile. Su questo non possiamo che guadagnarci tutti!

la questione sul security patch disclosure di Mozilla è molto semplice.

Essendo firefox un progetto open source tutto il codice e le patch sono sotto gli occhi di tutti, per cui se vengono scovati 10 bug di sicurezza, tutti e 10 saranno noti al pubblico

falso, alcuni bug report non sono pubblici se non finche' la falla e' stata chiusa.
Il fatto che tu possa vedere *molti* di questi bug report non vuol dire che tu li possa vedere *tutti*

sono andato a guardare il bug report di mozilla e manco li' c'e' una lista completa quindi...

Quindi ne' la news ne' il bugreport soddisfano la richiesta di "xxxyyy" ;)

la questione sul security patch disclosure di Mozilla è molto semplice.

Essendo firefox un progetto open source tutto il codice e le patch sono sotto gli occhi di tutti, per cui se vengono scovati 10 bug di sicurezza, tutti e 10 saranno noti al pubblico (mozilla tra l'altro ha un blog dedicato a queste patch, in cui vengono puntualmente pubblicati tutti i bug scovati).
In un software closed quale può essere opera o ie, gli unici bug scovati sono quelli che qualche hacker è andato a scovare volutamente, in realtà non sappiamo dietro le quante quanti bug di sicurezza abbiano fixato i due team di sviluppo con nuove versioni o patch.

Ecco questo dovrebbe essere preso e incollato sulla testa di tutti i personaggi che entrano a cannone sui bachi di sicurezza di firefox, o addirittura difendendo IE7 o altri browser chiusi, di cui vedete e vedrete solo e unicamente la punta dell'iceberg in quanto a bachi.

Quindi ne' la news ne' il bugreport soddisfano la richiesta di "xxxyyy" ;)

se la sua richiesta era la lista completa si'... se era una richiesta generica (come mi era sembrato) allora basta leggere la news.

Tutte le vulnerabilità vengono rese pubbliche, c'è un giusto periodo(circa 1 settimana se non ricordo male) in cui questa resta visibile solo agli sviluppatori/utenti autorizzati.

Tutte le vulnerabilità vengono rese pubbliche, c'è un giusto periodo(circa 1 settimana se non ricordo male) in cui questa resta visibile solo agli sviluppatori/utenti autorizzati.

si e' un dettaglio non da poco comunque ;)

E' anche giusto cosi', va bene il software aperto e una gestione "aperta" dello sviluppo e della sicurezza, ma trattandosi di problemi che possono portare al furto di informazioni o altro è giusto avere il tempo di analizzarli e nel caso prendere provvedimenti :D.

Stavo per farti notare che il sito "Firefox Myths" contiene un mucchio di inesattezze e non era una grande idea tenerlo in firma poi ho cliccato il link :D

L'unica cosa è che probabilmente molti utenti invece che di memory leak(che comunque esistono) hanno sofferto di frammentazione della memoria. In ogni caso tutti e 2 i problemi stanno venendo affrontati riguardo a Firefox 3..

salve a tutti se qualcuno mi può' aiutare ,in pratica ho dovuto abbandonare l'uso di FireFox a favore di opera,a causa di un problema che non mi da piu' pace,appena inizio una sezione di FireFox mi si aprono altre pagine di dubbia provienenza con allarmi di virus e scansioni ecc.Con nod32 e kaspersky mi da tutto pulito.lo stesso con spybot e altri programmi antispyware non trovano niente.In pratica firefox risulta inutilizzabile al contrario di opera.Saluti

si e' un dettaglio non da poco comunque ;)

è un dettaglio da poco invece, i bug interni non sono visibili fino al fix ma lo sono immediatamente dopo, quindi cmq sai esattamente quanti e quali sono stati sistemati, sia i pubblici che gli interni (quelli appunto esistenti ma visibili dopo il fix). Il conteggio dei security fix è quindi preciso ed imprescindibile, e le patch devono arrivare prima possibile.
il resto è fatto per evitare corse da lamer a chi implementa prima l'hack...

salve a tutti se qualcuno mi può' aiutare ,in pratica ho dovuto abbandonare l'uso di FireFox a favore di opera,a causa di un problema che non mi da piu' pace,appena inizio una sezione di FireFox mi si aprono altre pagine di dubbia provienenza con allarmi di virus e scansioni ecc.Con nod32 e kaspersky mi da tutto pulito.lo stesso con spybot e altri programmi antispyware non trovano niente.In pratica firefox risulta inutilizzabile al contrario di opera.Saluti

il problema è dobuto a qualche virus/spyware che hai sul sistema, una volta ho visto una cosa simile dovuta ad un rootkit che gli antivirus non rilevavano... Cmq nel dubbio che sia un semplice virus che ha sostituito firefox o un estensione che hai installato da qualche sito non sicuro, rimuovilo completamente dal disco, e cancella anche la sua cartella in c:\programmi\mozilla firefox... poi cancella tutti i profili (perderai bookmark e la config ma è importante se hai qualcosa che si è installato lì); C:\Documents and Settings\[User Name]\Application Data\Mozilla\Firefox\Profiles\ su Windows XP/2000 o C:\users\[User Name]\AppData\Roaming\Mozilla\Firefox\Profiles\ su Windows Vista.
Quando hai pulito bene tutto riscaricalo dal sito ufficiale http://getfirefox.com e vedi se il problema è effettivamente lì o in un rootkit/spyware particolarmente resistente...

il resto è fatto per evitare corse da lamer a chi implementa prima l'hack...

quindi confermi che dal punto di vista della sicurezza non e' un dettaglio da poco.
C.V.D.

Stavo per farti notare che il sito "Firefox Myths" contiene un mucchio di inesattezze e non era una grande idea tenerlo in firma poi ho cliccato il link :D


infatti io ho il Myth del Myth, notare le parentesi please :D
Se critico non vuol dire che non sia obiettivo... c'e' della gente su questo forum che parla a vanvera e ogni tanto cerca di buttare un po' di cacca su cose che non conosce ;)

infatti io ho il Myth del Myth, notare le parentesi please :D
Se critico non vuol dire che non sia obiettivo... c'e' della gente su questo forum che parla a vanvera e ogni tanto cerca di buttare un po' di cacca su cose che non conosce ;)

Le ho notate infatti, però dopo, e mi è sembrato simpatico riportare la reazione :D. Sul discorso delle critiche d'accordissimo, come dici tu esistono fin troppe persone che schematizzano un po' troppo e vanno di ideologie, per quello quando ho letto "Firefox Myth" ho cliccato per controllare e nel caso fare un po' di chiarimenti. :O

Le ho notate infatti, però dopo, e mi è sembrato simpatico riportare la reazione :D. Sul discorso delle critiche d'accordissimo, come dici tu esistono fin troppe persone che schematizzano un po' troppo e vanno di ideologie, per quello quando ho letto "Firefox Myth" ho cliccato per controllare e nel caso fare un po' di chiarimenti. :O

:)

se la sua richiesta era la lista completa si'... se era una richiesta generica (come mi era sembrato) allora basta leggere la news.

Ma scusa... ma richiesta generica di cosa?
Nella news si dice chiaramente che "il bug è sfruttabile solamente se nel browser sono installati add-on flat", e se ne indicano due come esempio.
Mi sembra una richiesta piu che normale sapere la lista di questi add-on flat.
Ed e' anche una richiesta generica, visto che il bug dovrebbe (secondo quanto dice la news) colpire genericamente gli add-on flat.

Comunque, questa lista non esiste, giusto?
Allora, come si fa a sapere se gli add-on che uno ha installato sono flat o no?

Originariamente inviato da: costa@73
salve a tutti se qualcuno mi può' aiutare ,in pratica ho dovuto abbandonare l'uso di FireFox a favore di opera,a causa di un problema che non mi da piu' pace,appena inizio una sezione di FireFox mi si aprono altre pagine di dubbia provienenza con allarmi di virus e scansioni ecc.Con nod32 e kaspersky mi da tutto pulito.lo stesso con spybot e altri programmi antispyware non trovano niente.In pratica firefox risulta inutilizzabile al contrario di opera.Saluti


il problema è dobuto a qualche virus/spyware che hai sul sistema, una volta ho visto una cosa simile dovuta ad un rootkit che gli antivirus non rilevavano... Cmq nel dubbio che sia un semplice virus che ha sostituito firefox o un estensione che hai installato da qualche sito non sicuro, rimuovilo completamente dal disco, e cancella anche la sua cartella in c:\programmi\mozilla firefox... poi cancella tutti i profili (perderai bookmark e la config ma è importante se hai qualcosa che si è installato lì; C:\Documents and Settings\[User Name]\Application Data\Mozilla\Firefox\Profiles\ su Windows XP/2000 o C:\users\[User Name]\AppData\Roaming\Mozilla\Firefox\Profiles\ su Windows Vista.
Quando hai pulito bene tutto riscaricalo dal sito ufficiale http://getfirefox.com e vedi se il problema è effettivamente lì o in un rootkit/spyware particolarmente resistente...

Ok provero' a fare cosi',la mia impressione è che come sospetti anche tu si tratti di qualche rootkit di quelli difficoili da individuare e eliminare
grazie.

Se può interessare con Download Statusbar 0.9.5.3 lo sviluppatore ha cambiato metodo di packaging in modo da rimuovere il rischio(usando questa estensione).

Chi ha Vista, gli conviene usare Internet Explorer 7 che ha una sua bella "sandbox" nativa che protegge da queste vulnerabilità.
Con la modalità protetta di IE7, si evita che un sito possa andare a "gironzolare" fuori dalla cartella dei file temporanei... :D

Chi ha Vista, gli conviene usare Internet Explorer 7 che ha una sua bella "sandbox" nativa che protegge da queste vulnerabilità.
Con la modalità protetta di IE7, si evita che un sito possa andare a "gironzolare" fuori dalla cartella dei file temporanei... :D

http://secunia.com/product/12366/?task=statistics

non mi sembra messo molto bene anche IE7

Se può interessare con Download Statusbar 0.9.5.3 lo sviluppatore ha cambiato metodo di packaging in modo da rimuovere il rischio(usando questa estensione).

si come avevo detto in prima pag. ;)

si come avevo detto in prima pag. ;)

Vero, non lo avevo visto :( :)

Da notare che la vulnerabilità è segnalata su Secunia come "Less Critical", quindi niente di "grave"(e IE ha vulnerabilità non corrette fino al "moderatamente critico" - più di Firefox).

Sapete se
1-FormFox 1.6
2-NoScript 1.3.1
3-SafeHistory 0.8
4-TrackMeNot 0.5.17
5-Talkback 2.0.0.11 (va be', questo penso di no...)
son add-on flat?
Grazie

E' vecchio sto bug... si sapeva dai tempi dei tempi... E comunque non ho mai avuto nulla da temere isto che DSB, download embedded, flashgot, no-script e ad-block li uso da 3 morti di papa...

ma è possibile che ogni volta che c'è un baco in ie tutti addosso e quando un baco sta su ff scatta la polemica?
TUTTI i s.o. (ma tutti i sw in genere...) potrebbero avere delle vulnerabilità!!
ormai anche linux è diventato una "chiacchiera" come s.o. sicuro...
dobbiamo capire (anzi dovete...) che il sw non è e non sarà mai perfetto, ma questo è un dato di fatto.
dobbiamo (e qui mi ci metto anch'io...) smetterla di esultare ogni volta che un sw "nemico" svela un problema, perchè tanto se ie ha un problema, gli stupidi fruitori di ff ridono, ma quando il problema ce l'ha ff, sono gli stupidi fruitori di ie a ridere... vi sembra una cosa normale?
mah...