GRAVI PROBLEMI DI SICUREZZA PER FIREFOX

[pistolino]

Ecco il testo preso da tweakness


Mozilla Foundation ha rilasciato la versione finale di Firefox 1.0.1 che corregge numerose vulnerabilità scoperte nel browser dalla versione 1.0. Si tratta quindi per lo più di un "Security Update" a correzione delle falle che consentivano attacchi di cross-site scripting e domain-spoofing. La nuova versione include anche un workaround per il recente problema di sicurezza legato al sistema IDN. News correlate -> Rischio IDN Spoofing - Rischio IDN Spoofing II

Ecco un changelog che contiene i links relativi ai bugs su Bugzilla.

Le falle di sicurezza risolte:
22183 - Display hostname in title bar when address bar is hidden (address bar spoofing).
260560 - Finestre di download possono venir nascosti parzialmente usando un pop-up.
262887 - Secunia background tab security issues (SA12712).
273699 - 2 Frame Injection Vulnerabilities.
275417 - Download dialog source spoofing (SA13599).
279945 - Il drag and drop di immagini permette di creare files eseguibili.
280056 - A javascript, linked to a tab, runs in the current security context of the new tab.
280664 - Using Flash and the -moz-opacity filter you can get access to about:config.
282270 - Display IDN URLs as punycode by default (controlled by a hidden pref).

Altri bug fixes:
229706 - Unattended install asks for installation folder.
233625 - Uninstalling deleted non-Firefox folders (after installing to C:\Program Files\).
98564 - Caret overlaps the last character in textfield (if positioned after the last char).
271473 - Decouple services on update.mozilla.org.
280603 - "New Updates Avail" popup in bottom right-hand corner floods update service.
236596 - Form element cannot get focus when loaded by XML/XSLT page.
262822 - FIPS can't be enabled.
261934 - network.standard-url.encode.utf8 and network.enableIDN prefs are ignored.
242845 - [Mac] Firefox disk image should use .dmg internal zlib-compression, not .dmg.gz.
180309 - [Linux] Crash while loading page with MS .fon font.

Chris Hoffman, director of engineering at the Mozilla Foundation, attribuisce un'importanza moderatamente critica all'aggiornamento rilasciato e afferma che solo due vulnerabilità, relative a cross-domain cookie-injection e Java Plug-in tab spoofing, non sono state ancora corrette per motivi di test. Cerca tutte le news sulle vulnerabilità in Firefox:


E POI SI DICE CHE FIREFOX E' PERFETTO ED EXPLORER E' UNA CACCA...
IL FATTO E' CHE LE FALLE DI FIREFOX VENGONO DETTE SOTTOVOCE MENTRE APPENA C'E' UN PROBLEMA DI EXPLORER, TUTTI GLI SPALANO MERDA ADDOSSO.

[bort_83]

ma nn direi proprio.. se uno è iscritto a ml di sicurezza può notare come escano problemi per tutti i browser +o- contemporaneamente...

il fatto che uno possa fare un title bar spoofing mettendo un title lungo molti caratteri nn mi pare tanto grave quanto un buffer overflow o il poter installare del codice ad insaputa dell'utente sfruttando vulnerabilità del browser...

il senso è che se mi viene fuori un popup mentre navigo un sito porno e il popup ha come title bar "aggiornamenti MICROSOFT" ... e io ci clicco sopra e mi chiede installa il file aggiornamento.nomelungo.kb1241446134.exe.pornodialer.exe

e io dico si è diverso dal fatto che all'apertura della pagina mi venga messo sulla macchina del codice senza che io ne sappia niente...

[bort_83]

per comparazioni oggettive:

http://secunia.com/product/11/

http://secunia.com/product/4227/

[friwer]

Firefox non è altro che un software e come tale è soggetto a bug e vulnerabilità. Chi ne sbandiera la perfezione sbaglia, come chi non ammette che IE è indietrissimo rispetto a quest'ultimo. Tutto questo IMHO.
Nonostante questo changelog, continuo a ritenere Firefox + sicuro, + pratico, + funzionale e + bello ( ) di IE

[Psiche]

La discussione in cui si parla di Firefox 1.0.1 è quì:

http://forum.hwupgrade.it/showthread...hreadid=811175


Chiudo