pistolino
25-02-2005, 13:53
Ecco il testo preso da tweakness
Mozilla Foundation ha rilasciato la versione finale di Firefox 1.0.1 che corregge numerose vulnerabilità scoperte nel browser dalla versione 1.0. Si tratta quindi per lo più di un "Security Update" a correzione delle falle che consentivano attacchi di cross-site scripting e domain-spoofing. La nuova versione include anche un workaround per il recente problema di sicurezza legato al sistema IDN. News correlate -> Rischio IDN Spoofing - Rischio IDN Spoofing II
Ecco un changelog che contiene i links relativi ai bugs su Bugzilla.
Le falle di sicurezza risolte:
22183 - Display hostname in title bar when address bar is hidden (address bar spoofing).
260560 - Finestre di download possono venir nascosti parzialmente usando un pop-up.
262887 - Secunia background tab security issues (SA12712).
273699 - 2 Frame Injection Vulnerabilities.
275417 - Download dialog source spoofing (SA13599).
279945 - Il drag and drop di immagini permette di creare files eseguibili.
280056 - A javascript, linked to a tab, runs in the current security context of the new tab.
280664 - Using Flash and the -moz-opacity filter you can get access to about:config.
282270 - Display IDN URLs as punycode by default (controlled by a hidden pref).
Altri bug fixes:
229706 - Unattended install asks for installation folder.
233625 - Uninstalling deleted non-Firefox folders (after installing to C:\Program Files\).
98564 - Caret overlaps the last character in textfield (if positioned after the last char).
271473 - Decouple services on update.mozilla.org.
280603 - "New Updates Avail" popup in bottom right-hand corner floods update service.
236596 - Form element cannot get focus when loaded by XML/XSLT page.
262822 - FIPS can't be enabled.
261934 - network.standard-url.encode.utf8 and network.enableIDN prefs are ignored.
242845 - [Mac] Firefox disk image should use .dmg internal zlib-compression, not .dmg.gz.
180309 - [Linux] Crash while loading page with MS .fon font.
Chris Hoffman, director of engineering at the Mozilla Foundation, attribuisce un'importanza moderatamente critica all'aggiornamento rilasciato e afferma che solo due vulnerabilità, relative a cross-domain cookie-injection e Java Plug-in tab spoofing, non sono state ancora corrette per motivi di test. Cerca tutte le news sulle vulnerabilità in Firefox::eek:
E POI SI DICE CHE FIREFOX E' PERFETTO ED EXPLORER E' UNA CACCA...
IL FATTO E' CHE LE FALLE DI FIREFOX VENGONO DETTE SOTTOVOCE MENTRE APPENA C'E' UN PROBLEMA DI EXPLORER, TUTTI GLI SPALANO MERDA ADDOSSO.
Mozilla Foundation ha rilasciato la versione finale di Firefox 1.0.1 che corregge numerose vulnerabilità scoperte nel browser dalla versione 1.0. Si tratta quindi per lo più di un "Security Update" a correzione delle falle che consentivano attacchi di cross-site scripting e domain-spoofing. La nuova versione include anche un workaround per il recente problema di sicurezza legato al sistema IDN. News correlate -> Rischio IDN Spoofing - Rischio IDN Spoofing II
Ecco un changelog che contiene i links relativi ai bugs su Bugzilla.
Le falle di sicurezza risolte:
22183 - Display hostname in title bar when address bar is hidden (address bar spoofing).
260560 - Finestre di download possono venir nascosti parzialmente usando un pop-up.
262887 - Secunia background tab security issues (SA12712).
273699 - 2 Frame Injection Vulnerabilities.
275417 - Download dialog source spoofing (SA13599).
279945 - Il drag and drop di immagini permette di creare files eseguibili.
280056 - A javascript, linked to a tab, runs in the current security context of the new tab.
280664 - Using Flash and the -moz-opacity filter you can get access to about:config.
282270 - Display IDN URLs as punycode by default (controlled by a hidden pref).
Altri bug fixes:
229706 - Unattended install asks for installation folder.
233625 - Uninstalling deleted non-Firefox folders (after installing to C:\Program Files\).
98564 - Caret overlaps the last character in textfield (if positioned after the last char).
271473 - Decouple services on update.mozilla.org.
280603 - "New Updates Avail" popup in bottom right-hand corner floods update service.
236596 - Form element cannot get focus when loaded by XML/XSLT page.
262822 - FIPS can't be enabled.
261934 - network.standard-url.encode.utf8 and network.enableIDN prefs are ignored.
242845 - [Mac] Firefox disk image should use .dmg internal zlib-compression, not .dmg.gz.
180309 - [Linux] Crash while loading page with MS .fon font.
Chris Hoffman, director of engineering at the Mozilla Foundation, attribuisce un'importanza moderatamente critica all'aggiornamento rilasciato e afferma che solo due vulnerabilità, relative a cross-domain cookie-injection e Java Plug-in tab spoofing, non sono state ancora corrette per motivi di test. Cerca tutte le news sulle vulnerabilità in Firefox::eek:
E POI SI DICE CHE FIREFOX E' PERFETTO ED EXPLORER E' UNA CACCA...
IL FATTO E' CHE LE FALLE DI FIREFOX VENGONO DETTE SOTTOVOCE MENTRE APPENA C'E' UN PROBLEMA DI EXPLORER, TUTTI GLI SPALANO MERDA ADDOSSO.