Vulnerabilità in Firefox 1.5: semplice bug o rischio DoS?

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwupgrade.it/news/sicurez...dos_15954.html

Una vulnerabilità in Firefox 1.5 espone il sistema a un potenziale DoS, ma da Mozilla dicono che la sicurezza non c'entra

Click sul link per visualizzare la notizia.

[share_it]

Fatemi il piacere! il massimo che puo succedere è che il browser si pianta e non risponde più, basta terminarlo con il task manager!
La scorsa settimana c'era una vulnerabilità di internet explorer NON patchata dalla microsoft, che permetteva l'esecuzione remota di codice! Questa l'avete segnalata?

[Leron]

riporto quanto scritto da ercolino nel thread ufficiale

Bollettino secunia

Info

Secunia la giudica come pericolosità NON critica, il valore più basso della scala (anche per firefox son passate falle ben gravi, questa non mi pare molto rischiosa)

nell'ultimo link si può leggere anche cosa modificare per "tappare" provvisoriamente la falla


nel frattempo aspettiamo la 1.5.1 che coprirà il buco a breve

[modder81]

già basta internet exploit... poi ci mancava mozilla firebug...

[Leron]

Quote:

Originariamente inviato da modder81

già basta internet exploit... poi ci mancava mozilla firebug...

se sai anche solo un pochino di programmazione saprai che è impossibile rilasciare software senza neanche un bug

l'importante è che quando questi vengano trovati si raggiunga al più presto una soluzione

[modder81]

Originariamente inviato da: modder81
già basta internet exploit... poi ci mancava mozilla firebug...

se sai anche solo un pochino di programmazione saprai che è impossibile rilasciare software senza neanche un bug

l'importante è che quando questi vengano trovati si raggiunga al più presto una soluzione



Lo so lo so... e mi intendo anche di programmazione(studio ing. informatica) solo che voleva essere una battuta simpatica visto quello che sta succedendo con google desktop search....

[share_it]

Ecco quà il buco di IE:
http://www.securityfocus.com/bid/13799/
è ancora aperto!!!
c'è l'exploit pubblico!!!

in 20 minuti un ragazzino sveglio ti strabuca e ti carica quello che vuole se riesce a farti caricare il suo codice html... (magari basta anche solo che ti manda una mail, se tu usi outlook)

perciò lo ripeto, se non avete segnalato questa, (e io non l'ho vista) fate ridere i polli a segnalare un dos blandissimo per firefox.

[Cosimo]

Straquoto fino l'infinito share_it

Firefox Forever.

[modder81]

per quanto riguarda sulla battuta del firebug.... io continuo ad essere un fedelissimo di firefox sia sotto windows sia sotto la mia cara debian...

[Wonder]

Che si pianti Firefox accade, anche più che con la 1.0.7
Mi è già capitato 2 volte in 2 settimane, e con siti diversi. Se poi dietro c'è un DOS non lo so...a questo ci deve pensare Mozilla (e il mio firewall)

[share_it]

grazie Cosimo

Speriamo che questo bug venga corretto prima di un eventuale sfruttamento. Vorrei infatti segnalare che la vulnerabilità gravissima di IE, era stata segnalata a MAGGIO, come un problema di questo tipo e poi non essendo ancora corretta è stata sfruttata a NOVEMBRE. E ad oggi non è ancora risolta.
Per essere chiari neanche 10 firewall e 6 antivirus vi proteggono da quella falla, mentre il codice che vi può danneggiare è scaricabile liberamente dal sito di securityfocus e altri posti.
Questa società che ha segnalato questo bug di firefox, mi fa abbastanza schifo perchè ha trovato un bug, verosimilmente leggendo il codice sorgente, e invece di mandare una bella mail alla lista degli sviluppatori mozilla o segnalare un bug sul loro sito, se ne sono usciti con un exploit, che ti pianta il browser e nulla più. SOLO per PUBBLICITA'. Si vergognino.

[capitan_crasy]

Quote:

Originariamente inviato da share_it

Ecco quà il buco di IE:
http://www.securityfocus.com/bid/13799/
è ancora aperto!!!
c'è l'exploit pubblico!!!

in 20 minuti un ragazzino sveglio ti strabuca e ti carica quello che vuole se riesce a farti caricare il suo codice html... (magari basta anche solo che ti manda una mail, se tu usi outlook)

perciò lo ripeto, se non avete segnalato questa, (e io non l'ho vista) fate ridere i polli a segnalare un dos blandissimo per firefox.

Quote:

Originariamente inviato da Cosimo

Straquoto fino l'infinito share_it

Firefox Forever.

Problemi con FireFox?
e ti pareva se non devono mettere in mezzo explorer anche quando non c'entra nulla con la notizia...

[Leron]

Quote:

Originariamente inviato da Wonder

Che si pianti Firefox accade, anche più che con la 1.0.7
Mi è già capitato 2 volte in 2 settimane, e con siti diversi. Se poi dietro c'è un DOS non lo so...a questo ci deve pensare Mozilla (e il mio firewall)

hai cancellato il profilo prima di aggiornare?

[Leron]

Quote:

Originariamente inviato da capitan_crasy

Problemi con FireFox?
e ti pareva se non devono mettere in mezzo explorer anche quando non c'entra nulla con la notizia...

il paragone sorge spontaneo, comunque sarebbe meglio non trasformare il thread nel solito "ff vs IE"

per quanto riguarda la news, secondo me è sempre meglio parlarne piuttosto che non riportare le notizie

[Cisto]

Allora: la falla è molto meno grave di quanto sembrasse, e infatti CNet.com ha già pubblicato una dovuta rettifica. Il probelma riguarda comunque esclusivamente la versione Windows di Firefox, e peraltro la Mozilla Foundation non è mai riuscita a ricreare il problema, come del resto molti utenti.

[share_it]

Quote:

Originariamente inviato da capitan_crasy

Problemi con FireFox?
e ti pareva se non devono mettere in mezzo explorer anche quando non c'entra nulla con la notizia...

ti pare il caso di segnalare una cosa del genere che interessa il 10% degli utenti e fa 0 danni, mentre ne viene ignorata una che interessa il 90% degli utenti e fa danni a manetta?

Mi spiace ma i ragazzi di hwupgrade non sanno riconoscere una "campagna pubblicitaria" di una compagnia di sicurezza, da una minaccia vera. Questa notizia non ha senso su hwupgrade, che non è un sito di sicurezza. E' solo dare una mano a una infantile infamata contro firefox 1.5, che è popolare in questi giorni visto che è appena uscito.

[capitan_crasy]

Quote:

Originariamente inviato da share_it

ti pare il caso di segnalare una cosa del genere che interessa il 10% degli utenti e fa 0 danni, mentre ne viene ignorata una che interessa il 90% degli utenti e fa danni a manetta?

Mi spiace ma i ragazzi di hwupgrade non sanno riconoscere una "campagna pubblicitaria" di una compagnia di sicurezza, da una minaccia vera. Questa notizia non ha senso su hwupgrade, che non è un sito di sicurezza. E' solo dare una mano a una infantile infamata contro firefox 1.5, che è popolare in questi giorni visto che è appena uscito.

Dato che sistemo i pc, attualmente hai miei clienti installo e consiglio l'uso di firefox e Opera per via della vulnerabilità di IE non ancora sistemata.
Alcuni mi hanno segnalato dei crash di firefox 1.5, può succedere ad una nuova versione, nessuno è perfetto. La notizia di HWupdate parla anche di un probabile vulnerabilità del Browes con rischio DoS.
Allarmismo o no, questa notizia mi pare degna di nota!!!

[Wonder]

Quote:

hai cancellato il profilo prima di aggiornare?

Si, ho disintallato il vecchio, poi ho riavviato, poi ho cancellato a manina tutte le schefezze che ha lasciato sul computer, file e registry (ci si lamenta di explorer ma anche FF non scherza in fatto di invasività)

[sari]

poi io non ho capito una cosa :

Wikipedia : Il DoS, scritto con la maiuscola al primo e terzo posto, è la sigla di denial of service, letteralmente negazione del servizio. In questo tipo di attacco si cerca di portare il funzionamento di un sistema informatico che fornisce un servizio, ad esempio un sito web, al limite delle prestazioni, lavorando su uno dei parametri d'ingresso, fino a renderlo non più in grado di erogare il servizio.

Ma serve una vulnerabilità per un attacco simile?
Devi avere a disposizione una di queste 3 cose per eseguirlo :
1 - una linea Internet super veloce, sia te, sia chi ti attacca.
2 - una rete con "grossolani errori di configurazione" per moltiplicare i pacchetti
3 - un sacco di pc a disposizione e un sacco di banda, quest'ultima da entrambe le parti...

Chi non ha tal possibilità?

[Robby Naish]

Ciao,

alla fine mi sono deciso di installare la vers. 1.5....
Carina, ma pensavo meglio.....
ma a parte ciò, la cosa che ho notato è che richiede una montagna di risorse.

Windows XP sp1 , praticamenrte vergine, pochissimi programmi, no Office e pachidermi similari.

Dopo varie ore, avevo 2 pagine aperte, mi sono ritrovato 240 mega di risorse usate da firefox. Pensando fosse un problema momentaneo, ho fatto ripartire il pc e ho caricato 2 pagine (ogame e travian) e lasciat acceso tutta la notte per verificare.
Qs mattina, firefox mi usava 340 mega!!!!!! Infatti il pc era molto lento.

Da che dipende?

ciao e grazie

Alex