08 ottobre 2008

La società di sicurezza Secunia (http://secunia.com/) riporta un Advisory (SA32177 (http://secunia.com/advisories/32177/)) in cui si spiega che sono state trovate multiple vulnerabilità in Opera, giudicate dalla stessa come Highly critical, il quale possono essere usate da malintenzionati per bypassare alcune restrizioni di sicurezza, divulgare informazioni potenzialmente sensibili, o potenzialmente compromettere il sistema di un utente ignaro.

Più nello specifico:

1) Un errore non meglio specificato può essere sfruttato potenzialmente per eseguire codice arbitrario malevolo attraverso una pagina web che redirige il browser verso un URL creato ad hoc da malintenzionati.

2) Un errore nel caching delle applets Java può essere sfruttato per caricare una applet in cache non autorizzata nel contesto local machine e, ad esempio, leggere file riservati in cache.


Software buggati:

Opera 5.x
Opera 6.x
Opera 7.x
Opera 8.x
Opera 9.x



Soluzione:
Aggiornare il programma alla versione 9.6.
http://www.opera.com/download/

Falle scoperte da:
Il produttore ringrazia:
1) Chris of Matasano Security
2) Nate McFeters

Advisory d'origine:
http://www.opera.com/support/search/view/901/
http://www.opera.com/support/search/view/902/




Fonte: Secunia (http://secunia.com/advisories/32177/)

ripreso in dettaglio su tweakness:

http://www.tweakness.net/news/4755


a tal proposito si consiglia di aggiornare immediatamente alla versione 9.60 (http://www.opera.com/download). ;)

riscontro su security focus:

http://www.securityfocus.com/bid/31631/info

Chi usa Opera rimane sempre stupefatto della professionalità del team di sviluppo.
Oggi anche una vulnerabilità in FF (se non vado errato) al momento non patchata.

E' interessante notare che spesso sotto linux non è disponibile una funzione che notifica un aggiornamento all'utente direttamente dal sw.
Con Opera ver. linux la funzione di notifica all'utente è automatica non occorre nemmeno premere il ? :sofico: :sofico: :sofico:

.

riscontro su webnews:

http://www.webnews.it/news/leggi/9306/opera-96-innova-client-di-posta-e-feed/

E' interessante notare che spesso sotto linux non è disponibile una funzione che notifica un aggiornamento all'utente direttamente dal sw.
Con Opera ver. linux la funzione di notifica all'utente è automatica non occorre nemmeno premere il ? :sofico: :sofico: :sofico:

E' presente tanto quanto su Windows se si usa la versione scaricabile dal sito di Mozilla, però la maggior parte delle distribuzioni disattiva questa funzionalità nelle versioni "pacchettizzate" di Firefox, perchè tutti gli aggiornamenti (compreso quello di Firefox) vengono fatti gestire dal package manager della distribuzione.

E' presente tanto quanto su Windows se si usa la versione scaricabile dal sito di Mozilla, però la maggior parte delle distribuzioni disattiva questa funzionalità nelle versioni "pacchettizzate" di Firefox, perchè tutti gli aggiornamenti (compreso quello di Firefox) vengono fatti gestire dal package manager della distribuzione.

non avere la funzione di aggiornamento singolo risulta essere più affidabile come soluzione nel senso che con un click aggiorni tutto ilparco software a differenza di windows che dovrai farlo manualmente per c'asc'un software :p

anche su downloadblog:

http://www.downloadblog.it/post/7884/rilasciato-opera-96-i-feed-in-anteprima-in-stile-giornale

Credo che sia più probabile che le vulnerabilità siano rese pubbliche solo quando è pronta la patch.

Con firefox la cosa è più difficile, comunque anche loro (ma in generale tutte le software house) adottano questa politica.

Sarà....anzi è certamente così Riazzi !! ;)
Ma c'è da notare che quando viene evidenziato un bug in Opera al 99 % è già pronta una nuova versione che risolve il problema.

Così non è per FF....purtroppo !!

p.s. Ho messo il 99 % e non il 100 % (anche se mi sarebbe piaciuto :D ) perchè io uso Opera dal 1997 (prima usavo I.E. :doh: ) e occorre tener conto del passato per dire ciò che ho scritto !! ;)

.

Riazzi in ciò che ho scritto sopra (anche nel primo messaggio) non valuto se Opera sia più sicuro di FF.:D
E' ovvio che "per me" lo è ormai da anta anni !! :D ;)
Ma ciò è solo un'opinione personale......

Io ambisco a dire :D ;) che il team che segue Opera per me è più efficiente di quello di FF.:ciapet:

p.s. Anche se mi sembra di ricordare che ci sia uno scambio di idee tra le due squadre........ovviamente a vantaggio di FF (che è migliorato molto.....eh eh eh eh eh !!!)

.

allora mi sfugge cosa intendi per efficiente...

comunque anche a me non interessa attribuire l'epiteto di "più sicuro" ad un determinato browser, come ad esempio (uno a caso) Firefox :asd:

ma volevo solo evidenziare che bisogna valutare bene tuti gli aspetti prima di comparare un software open source con uno closed.

:D :D :rolleyes:

p.s. Sarebbe interessante fare una guida su un'alternativa ai soliti noti.
Che in fondo abbiamo usato e/o usiamo quasi tutti.
E Google ha dimostrato che le alternative interessano..........
A me piace molto K-Meleon !!!

http://img33.picoodle.com/img/img33/3/10/9/t_kmeleonm_0bfebae.jpg (http://www.picoodle.com/view.php?img=/3/10/9/f_kmeleonm_0bfebae.jpg&srv=img33)

E' leggero,sicuro (almeno sembrerebbe), è in italiano........