Link alla notizia: http://www.hwupgrade.it/news/sicurezza/rilasciate-le-nuove-versioni-di-firefox-302-e-firefox-20017_26605.html

Mozilla Foundation rilascia le versioni aggiornate di Firefox 3.0.2 e Firefox 2.0.0.17 per risolvere alcuni problemi di sicurezza e stabilità

Click sul link per visualizzare la notizia.

finalmente un aggiornamento che sistema delle vulnerabilità interessanti!
ben venga!

appena aggiornato sotto vista mi capita che a volte non naviga più e mi tocca chiuderlo ma tra i processi risulta ancora attivo quindi bisogna chiudere il processo a mano... strano comportamento!

Ottimo , su ubuntu i repository sono già stati aggiornati.... manco un giorno di delay.. :P

a me sto f. fox 3 da molti problemi con you tube

finalmente un aggiornamento spero che abbiano corretto le falle che il mio spybot trovava ad ogni scansione rigurado a dei siti spia tramite firefox

il link che avete messo per firefox 3.0.2 non è in italiano è in inglese...

appena aggiornato sotto vista mi capita che a volte non naviga più e mi tocca chiuderlo ma tra i processi risulta ancora attivo quindi bisogna chiudere il processo a mano... strano comportamento!

Mi succede la stessa cosa su XP è un BUG fastidioso.....:doh:

Mi succede la stessa cosa su XP è un BUG fastidioso.....:doh:

Quoto succede anche a me con XP Professional o Media Center :muro:

Io avrei una domanda non so se sia il luogo adatto però ci provo uguale!!
A me si impalla in tutte le pagine che usano media player che ovviamente ho dato che uso vista, mozilla dice che il plugin non è presente e richiede una installazione manuale...ma perchè?Le stesse pagine con ie (che odio) vanno benissimo qualcuno mi sa aiutare grazie!!
Cmq per il resto è perfetto il firefox3 mo aggiorno subito alla 3.02
Saluti

sono OT ma... figo il nuovo design di hwupgrade :D

nella notizia hanno dimenticato di scrivere che dal loro link lo installa o lo aggiorna in inglese....ve possino!

Ottimo , su ubuntu i repository sono già stati aggiornati.... manco un giorno di delay.. :P


Leggi attentamente la notizia, da nessuna parte e' scritto che le vulnerabilita' sono state scoperte e sistemate nelle ultime 48 ore. Il fix e' stato reso disponibile nelle ultime 48 ore.

Beh, lui non l'ha mai detto infatti. Ha detto solo che i repository di ubuntu sono stati aggiornati in fretta includendo la nuova versione.

@MrWhite75
Devi installare il plugin per firefox. Su IE ti funziona perchè naturalmente il plugin per IE è giò installato.

Io comunque aggiornato su XP e nessun problema.

Io avrei una domanda non so se sia il luogo adatto però ci provo uguale!!
A me si impalla in tutte le pagine che usano media player che ovviamente ho dato che uso vista, mozilla dice che il plugin non è presente e richiede una installazione manuale...ma perchè?Le stesse pagine con ie (che odio) vanno benissimo qualcuno mi sa aiutare grazie!!
Cmq per il resto è perfetto il firefox3 mo aggiorno subito alla 3.02
Saluti

Nei cmponenti aggiuntivi/plugin di Firefox controlla che ci sia il plugin di media player, se c'è e non ti funziona disattivalo/cancellalo e poi installalo con questo http://port25.technet.com/pages/windows-media-player-firefox-plugin-download.aspx

Devo dire che ho avuto questo problema col firefox 2, ma poi ho capito che andava in conflitto con una versione di VLC che installa i suoi Plugin se non si spunta la casella in fase di installazione.
Quindi controlla anche questo.

@goldorak

:O Ma sai che non ho mica capito cosa intendessi dirmi, ma sopratutto.. cosa hai capito di quello che ho scitto io ? lol :P

le vulnerabilità non finiscono mai... cè molto lavoro da fare però firefox sembra davvero uno dei migliori browser in circolazione in quanto a sicurezza





computer news articoli recensioni nuove tecnologie

questo vale per tutti i software ed OS.. se nessun software avesse Bug non sarebbe programmato da umani ma da extraterrestri avanti a noi di 50 anni nella tecnologia

Ottimo , su ubuntu i repository sono già stati aggiornati.... manco un giorno di delay.. :PSe notate sino a ieri su Secunia non compariva nessuna vulnerabilta' per Firefox 3.0.1... Mozilla si e' stata zitta e nessuno lo sapeva.. le vulnerabilita' sono state comunicate solo lo stesso giorno del rilascio del Fix = oggi

OTTIMO ..sempre cosi' dovrebbe essere

@ DeeP BlacK
Sei un grande grazie ho installato dal link che mi hai postato, tutto ok ora.
anche io ho installato vlc, che non sia per quello?
Per parlare di player consiglio vivamente gom player nettamente meglio di vlc una cosa che credevo impossibile
Vabbè grazie cmq
Saluti

Se notate sino a ieri su Secunia non compariva nessuna vulnerabilta' per Firefox 3.0.1... Mozilla si e' stata zitta e nessuno lo sapeva.. le vulnerabilita' sono state comunicate solo lo stesso giorno del rilascio del Fix = oggi

OTTIMO ..sempre cosi' dovrebbe essere

Infatti è la procedura standard per i browser: comunichi la cosa in un bug "privato", uno sviluppatore valuta se il problema c'è veramente, se si' chi lo ha scoperto riceve una piccola "taglia" (questo per Mozilla, gli altri non so). Dopo x tempo il bug diventa pubblico che sia stato corretto o no, per evitare fenomeni del tipo "non lo conosce nessuno, non sto a correggerlo".

Poi chiaro che purtroppo non è sempre cosi'..

Infatti è la procedura standard per i browser: comunichi la cosa in un bug "privato", uno sviluppatore valuta se il problema c'è veramente, se si' chi lo ha scoperto riceve una piccola "taglia" (questo per Mozilla, gli altri non so). Dopo x tempo il bug diventa pubblico che sia stato corretto o no, per evitare fenomeni del tipo "non lo conosce nessuno, non sto a correggerlo".

Poi chiaro che purtroppo non è sempre cosi'..


:sbonk: ma e' il circo degli ipocriti.
Quanti volte e' stato necessario sentire su questo forum la derisione della Microsoft perche' non annunciava mai le falle del suo browser ? Ma come tutti le correggeva in maniera rapida.
Tutti a dire che l'open source e' meglio perche' consente un processo di auditing superiore. Ma dove ? Dove ? :asd:
Sapete da quanto tempo queste falle erano presenti in firefox ? Un mese, due mesi, dippiu' ? :rolleyes:

:sbonk: ma e' il circo degli ipocriti.
Quanti volte e' stato necessario sentire su questo forum la derisione della Microsoft perche' non annunciava mai le falle del suo browser ? Ma come tutti le correggeva in maniera rapida.
Tutti a dire che l'open source e' meglio perche' consente un processo di auditing superiore. Ma dove ? Dove ? :asd:
Sapete da quanto tempo queste falle erano presenti in firefox ? Un mese, due mesi, dippiu' ? :rolleyes:se non le sapeva Secunia fino ad oggi vuol dire che nessuno esterno a Mozilla e "dispettoso" le conosceva e le ha comunicate a Secunia o ha diffuso la notizia in rete sul tipo di falle...solo "pour parler"

Un conto poi e' che Secunia mi dica sul suo sito che un Software X ha una o delle falle..ed un conto e' conoscere come si sfruttano le falle nel tecnico per attaccare il browser .Se Secunia evidenzia delle falle sul suo sito per un software questo non vuol dire che in giro si sappia nel tecnico come sfruttarle.. ma solo il tipo di falla

sono 2 cose completamente diverse

Mi succede la stessa cosa su XP è un BUG fastidioso.....:doh:

:doh:
Qualche volta succede anche a me su Debian :eek: :eek:

:sbonk: ma e' il circo degli ipocriti.
Quanti volte e' stato necessario sentire su questo forum la derisione della Microsoft perche' non annunciava mai le falle del suo browser ? Ma come tutti le correggeva in maniera rapida.
Tutti a dire che l'open source e' meglio perche' consente un processo di auditing superiore. Ma dove ? Dove ? :asd:
Sapete da quanto tempo queste falle erano presenti in firefox ? Un mese, due mesi, dippiu' ? :rolleyes:

Il fatto che un bug segnalato rimanga privato per un po' di tempo per permettere di testare opportunamente il tutto ed evitare di diffondere particolari tecnici su come può essere sfruttato è una pratica standard (e anche intelligente :D). L'alternativa sarebbe come scoprire che hai la porta di casa che si apre se gli dai un calcio in basso a sinistra e andare in giro ad annunciarlo a tutti prima di chiamare qualcuno a sistemarla.

Microsoft in ambienti "seri" era stata criticata in relazione al fatto che il numero di bug non è un buon indice della sicurezza di un programma perché sembra non pubblichi i bug di sicurezza scoperti internamente e tende ad accorpare più problemi simili in un unica vulnerabilità.

Mozilla in pratica garantisce che qualunque bug di sicurezza sia reso pubblico dopo 2 o 3 settimane evitando quindi tutta una serie di "critiche/problemi" legati alla cosa (siccome è privato non lo risolvo anche per x mesi, quelli scoperti internamente non li annuncio per sembrare più sicuro, ecc.).

Edit: O forse non c'è un limite massimo, ma chi ha segnalato il bug può decidere di renderlo pubblico su bugzilla in caso di comportamenti scorretti. Non mi ricordo :D

In verità, no. I bachi risolti oggi sono stati segnalati a fine Giugno, quindi non direi che Mozilla rivela i problemi dopo 2/3 settimane.

Ho cercato meglio e ho trovato questo (http://www.mozilla.org/projects/security/security-bugs-policy.html):

* As noted above, information about security bugs can be held confidential for some period of time; there is no pre-determined limit on how long that time period might be. However this is offset by the fact that the person reporting a bug has visibility into the activities (if any) being taken to address the bug, and has the power to open the bug report for public scrutiny.


Disclosure of security vulnerabilities

The security module owner, peers, and other members of the Mozilla security bug group will not be asked to sign formal nondisclosure agreements or other legal paperwork. However we do expect members of the group

...

When a bug is put into the security bug group, the group members, bug reporter, and others associated with the bug will decide by consensus, either through comments on the bug or the group mailing list, whether an immediate warning to users is appropriate and how it should be worded. The goals of this warning are:

* to inform Mozilla users and testers of potential security risks in the versions they are using, and what can be done to mitigate those risks, and
* to establish, for each bug, the amount of information a distributor can reveal immediately (before a fix is available) without putting other distributors and their customers at risk.

A typical warning will mention the application or module affected, the affected versions, and a workaround (e.g. disabling JavaScript). If the group decides to publish a warning, the module owner, a peer, or some other person they may designate will post this message to the Known Vulnerabilities page (which will be the authoritative source for this information) and will also send a copy of this message to an appropriate moderated mailing list and/or newsgroup (e.g., netscape.public.mozilla.announce and/or some other newsgroup/list established specifically for this purpose). Mozilla distributors who wish to inform their users of the existence of a vulnerability may repost any information from the Known Vulnerabilities page to their own websites, mailing lists, release notes, etc., but should not disclose any additional information about the bug.



In sostanza hai ragione tu (o io nell'edit :D) non c'è un tempo fisso per mantenere le informazioni riguardo al bug nascoste (anche se è "consigliato" tenercele solo un tempo ragionevole), ma chi lo ha riportato è libero di renderlo pubblico in ogni momento.

Leggendo sopra mi pare che bug per bug si decida se dare un avviso pubblico "senza dettagli tecnici" .

Comunque segnalare il baco non significa rivelare anche come sfruttarlo. Come è stato detto sopra sono due cose differenti.

Vero, chiarisco meglio cosa volevo dire: essendo lo sviluppo della patch gestito su bugzilla nel "bug" dove il problema è stato segnalato questo è pieno di dettagli tecnici e discussioni sui "come e perchè" del problema. Questa "voce" viene quindi mantenuta privata perchè piena ci informazioni utili per cercare di sfruttarlo..

Tra l'altro, una cosa è la segnalazione di errore (che fa l'utente), una cosa il baco che viene catalogato a parte.

Essendo le vulnerabilità segnalate tramite bugzilla, che tiene traccia dei bug, la catalogazione è la stessa..

In merito alla parte evidenziata, quello è lo stesso identico comportamento che tiene Mozilla (il critical MFSA 2008-42 è l'accorpamento di più di una segnalazione, le quali risalenti appunto a Giugno/Luglio).

La questione è: nelle "conte dei bug" si guardano gli advisory o i bug su bugzilla? Perché li sono tutti separati.. ( quello che hai indicato non so se sia in realtà una "prova" cosi' forte: in pratica ci vengono buttati tutti i crash nel quale non si può escludere l'utilizzo in qualche modo malevolo, gli altri li segnalano come bug di sicurezza?)

Edit: Il punto in realtà era che non ci vedo nulla di male nella pratica "tengo segreto per un po'", chiunque la usi. E che le critiche (giuste o no) a Microsoft erano arrivate rispetto ad altri aspetti e in un altro contesto: si discuteva di come trovare un modo per indicare il grado di sicurezza di un programma che fosse più affidabile e significativo. Rileggendomi sembra un po' troppo la "solita" critica a Microsoft.. :D

appena aggiornato sotto vista mi capita che a volte non naviga più e mi tocca chiuderlo ma tra i processi risulta ancora attivo quindi bisogna chiudere il processo a mano... strano comportamento!

O rifai il profilo oppure disinstalla, cancella il profilo e reinstalla.

A me lo faceva con la 2.x ora che ho fatto la proceduura descritta è ok.

Non esattamente. Le risoluzioni (es. MFSA 2008-42) hanno una catalogazione a parte e possono contenere (come nel caso sopracitato) la soluzione a più report di bug. In pratica avviene molto raramente che "un bug = una soluzione", in quanto appunto più segnalazioni possono risalire a un unico problema.

Penso che stiamo dicendo la stessa cosa in un modo diverso: parlavo di quello che ho capito su come funziona bugzilla (che tramite dipendenze/duplicati/ecc. tende al modello un problema/segnalazione=una voce su bugzilla). Poi effetivamente i bug vengono riportati all'esterno anche tramite gli advisory (si può tradurre con risoluzioni?)

Il bug è anche quello che è dovuto a un utilizzo malevolo, anzi, questo è considerato un bug critico perché appunto significa che dietro vi si nasconde una vulnerabilità che ne permette un tale uso. Comunque nelle conte dei bug si dovrebbe tenere conto sia di Bugzilla che degli advisory apportati, anche se in realtà nessuno dei due rappresenta la situazione reale dato che i primi possono anche disporre di più bug per un solo errore, mentre i secondi vengono pubblicati solo a soluzione avvenuta.

A quanto avevano letto stavano cercando modelli migliori che tenessero conto di più fattori.. in questa (http://www.google.it/url?sa=t&source=web&ct=res&cd=1&url=http%3A%2F%2Fpeople.mozilla.org%2F~johnath%2Fpresentations%2FSecurity%2520Architecture.v04.pdf&ei=QWTaSIK5LYie1wbn2eClBg&usg=AFQjCNGYj0u6egd3iZ3mO8gamOq50qHofQ&sig2=6CeTToIQx_V30xxMPWiGdw) presentazione c'è qualche informazione in più (da pagina 25 in poi, prima parlano di test, come imparare dagli errori, ecc.).

Anche in questa release, solo correzione di vulnerabilità.... Forse alla Mozilla non importa che a molti il browser nemmeno si chiude? :D

Anche in questa release, solo correzione di vulnerabilità.... Forse alla Mozilla non importa che a molti il browser nemmeno si chiude? :D

Solitamente ci sono anche correzioni di crash e problemini vari, solo che non vengono riportati insieme alle vulnerabilità.

Solitamente ci sono anche correzioni di crash e problemini vari, solo che non vengono riportati insieme alle vulnerabilità.

Uhm, hai ragione... Ho letto adesso le release notes.

In realtà, le falle erano già conosciute in quanto legate a problemi segnalati su Bugzilla (problemi che non risalgono al mese scorso, per capirci... ma un po' più storici come ad esempio nel caso dei bug MFSA 2008-42 e MFSA 2008-41).

Lo scopo di Mozilla dovrebbe comunque essere quello di informare dell'esistenza di bug (soprattutto di quelli che si darebbe per scontato che sono già risolti pur non essendolo davvero) senza particolari tecnici. Ovvero dire non come sfruttare il bug, ma informare del bug, cosa che in questo caso non è stata fatta dato che i bug sono stati annunciati nella data di uscita delle correzioni stesse.

Stando così le cose, per sapere se davvero Firefox è o meno affidabile non resta che spulciare Bugzilla di Firefox stesso e sperare che i buchi evidenziati come "fixed" siano davvero risolti...


P.S. Relativamente al bug critical MFSA 2008-42, la prima segnalazione è stata del 26 Giugno.

caspita sono bug di qualche mese fa???

ahi, ahi :(

Spero che abbiano risolto il bug del plugin pdf ... a me molti pdf non riesce ad aprirli e va in crash :muro:

Spero che abbiano risolto il bug del plugin pdf ... a me molti pdf non riesce ad aprirli e va in crash :muro:vai sotto Strumenti/ Opzioni/ Applicazioni di Firefox 3.0.2 e setta che i documenti .PDF non vengano aperti nel browser tramite plug-in ma da Adobe Reader esternamente ..

non e' un bug di Firefox 3 ma un problema tuo
vedi se te lo fa ancora poi...

Un bug non ancora risolto che probabilmente prova vari casini a diverse persone è questo (https://bugzilla.mozilla.org/show_bug.cgi?id=438830), che può dare numerosi problemi tra cui video in flash non funzionanti, siti in flash che non funzionano, ecc. Era pronta una patch, ma ha creato dei problemi ed è stata rimandata alla 3.0.3..

Una buona notizia è invece che Mozilla sta lavorando con alcuni degli autori dei principali plugin per alcune aggiunte alle API già esistenti che permetterebbero finalmente di evitare che i plugin si "mangino" gli eventi generati dalla tastiera quando hanno il focus.

Beh, è abbastanza normale e c'è anche da tenere conto che di mezzo c'è stato Agosto. Tra l'altro stiamo parlando di software a larga diffusione quali appunto i browser, ed è quindi ancor più normale sentir parlare di bug e problemi. Non potendo tutti risolverli subito va da sé che alcuni vengono accorpati in release che possono seguire anche a svariati mesi di distanza dalla segnalazione (in alcuni casi anche un anno o più).

Il punto è che forse internet ha un po' "mitizzato" l'infallibilità di Firefox (occhio, non sto dicendo che non sia un buon software - io di gran lunga lo preferisco a Internet Explorer per dirne una - ma solo che come tutti i programmi soffre di problemi e non è perfetto).


X Rand: in effetti su alcune cose stavamo dicendo la stessa cosa. Beh, ci siamo capiti! :D

Ok, d'accordo anche sul fatto che non bisogna mitizzare nessuno :)

Nel frattempo e' già uscita la 3.03! Ubuntu (Intrepid) mel'ha già proposta come aggiornamento...

Anche x win la 303

.
Arrivata adesso ..aggiornate su Win a Firefox 3.0.3..

1 solo Mb di download e riavviate il Browser

Questa non la capisco: il bug era stato segnalato il 10 di settembre, quindi se era importante rilasciarlo subito potevano accorparlo alla 3.0.2 e fare una release sola.

magari hanno finito il ciclo di sviluppo della patch solo successivamente al rilascio della 3.0.2 oppure i due bug sono stati corretti in parallelo da team differenti,

l'importante è che il bug sia corretto, pace per il riavvio in +:)