Mozilla Firefox e Thunderbird attenzione a Javascript

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwupgrade.it/news/sicurezza/16294.html

Falle di sicurezza in Thunderbird e Firefox: disponibile l'aggiornamento per il browser web

Click sul link per visualizzare la notizia.

[liviux]

C'è da dire che, come promesso, la versione 1.5 si aggiorna molto più facilmente delle precedenti. Quasi automaticamente, ma non troppo. Cioè non "alle tue spalle".
(messaggio inserito con Konqueror, che è diventato un browser di tutto rispetto)

[riva.dani]

E chi li ha mai attivati i JavaScript in TB? Tuttalpiù che sono disattivati di default :o

[Sammy.73]

chissà come faccio a vivere con FF 1.0.7

[riva.dani]

@liviux

Era davvero una buona idea anche quella degli aggiornamenti cumulativi (scaricavi 700KB circa et voilà). Peccato che in questo caso, ad esempio, mi ha detto: tentativo fallito, devo scaricare l'aggiornamento completo: 6.1MB

[nonikname]

CDV : appena un software guadagna quote di mercato , viene scrupolosamente sondato alla ricerca di bug e falle (+ o - pericolose) per mettere in guardia l'utenza sprovveduta che pensava di andare avanti senza antivirus e antimalware...
Naturalmente la maggiorparte di queste falle vengono scoperte proprio da persone legate allo sviluppo di software anti-qualcosa !!!
Infatti mi sono sempre chiesto come mai , quando vengono trovati questi bug , per quale assurdo motivo vengono resi di pubblico dominio invece di tenerli nascosti ai coder , che dopo aver fatto colazione , la prima cosa che fanno è leggere il bollettino microsoft , McAfee e Symantec...

Mah !!! peccato , è + di un anno che gironzolo su qualsiasi sito , senza antivirus.. e con FF sono sempre riuscito a non essere mai contagiato ... (faccio lo scan on line con panda settimanalmente) e anche avendo adaware , gli spyware rilevati (usando FiFox come brosware) sono quasi sempre inesistenti ...
E' nato prima l'uovo(virus) o la gallina(antivirus)??? chi lo sa alzi la mano.....

[vale56]

Quote:

Originariamente inviato da nonikname

E' nato prima l'uovo(virus) o la gallina(antivirus)??? chi lo sa alzi la mano.....

In questo caso è facile rispondere. è nato prima il virus (almeno secondo http://it.wikipedia.org/wiki/Virus_(informatica) )
Comunque la stessa notizia su PI riporta questa errata

Quote:

Update: La vulnerabilità segnalata da FrSIRT non è tra quelle elencate qui da Secunia, e che Mozilla Foundation ha corretto con la recente minor release di Firefox. Ci scusiamo con tutti i lettori per aver citato Secunia: siamo stati ingannati da un advisory pubblicato da questa società e riguardante non Firefox, ma Mozilla Suite.

Da tutte le notizie in rete parrebbe, quindi, che le citicità siano state risolte dalla versione 1.5.0.1

[mjordan]

Quote:

Originariamente inviato da liviux

C'è da dire che, come promesso, la versione 1.5 si aggiorna molto più facilmente delle precedenti. Quasi automaticamente, ma non troppo. Cioè non "alle tue spalle".
(messaggio inserito con Konqueror, che è diventato un browser di tutto rispetto)

Io invece mi continuo a domandare perchè Firefox a me non mi segnala neanche la presenza di un'update...

[mjordan]

Scusate ma perchè a me il menu Guida-->Controlla Aggiornamenti risulta completamente disabilitato? Ovvero non ci posso cliccare...

[sirus]

Quote:

Originariamente inviato da Redazione

...
Sfruttando questa falla è possibile eseguire da remoto comandi JavaScript con i permessi che il browser ha nel sistema.
...

Quelli di un normalissimo utente USER sia in Windows che in Linux...comunque l'update a Firefox 1.5.0.1 è stato automatico sia su Windows che su Debian

[Stargazer]

Quote:

Originariamente inviato da riva.dani

E chi li ha mai attivati i JavaScript in TB? Tuttalpiù che sono disattivati di default :o

Be' basta pensare che c'è gente che tiene attivati gli activeX in un certo browser e e-mail

cose che fan riflettere
quello che non capirò mai perchè questa gente usi un computer però

[mjordan]

Comunque pare che il Javascript per le mail ricevute sia disabilitato di default su Thiunderbird.... A tal scopo vedete cosa avete Modifica ---> Preferenze ---> Privacy ---> Generali --> Blocca Javascript nei messaggi di posta. Dovrebbe essere abilitata.

[coschizza]

Quote:

Originariamente inviato da nonikname

E' nato prima l'uovo(virus) o la gallina(antivirus)??? chi lo sa alzi la mano.....

in realta una cosa che molti non sanno la so e te la posso dire:
molti pensano che prima viene trovato il bug poi creato il virus e po infettati i pc

molto spesso (non sempre ovviamente) la procedura è un po piu complicata:

1 viene trovato un bug da qualcuno
2 il bug viene riferito in forma privata alla ms e solo alla ms
3 dopo giorni o mesi viene creato un fix o una patch dalla ms
4 i malintenzionati prendono la patch e fanno "retro engineering" sui file modificati e trovano cosa viene cambiato (quindi la falla)
5 con queste informazioni viene creato un virus o o worm

quindi si vede che i motivi per il quale il virus si è diffuso sono 2:
1 gli utenti non hanno applicato la patch in un tempo ragionevole (giorni massimo qualche settimana)
2 la microsoft ha risolto un bug (è quindi ha svelato l'esistenza di una falla)

se la ms non li avesse risolti, molti dei bug piu gravi probabilmente non sarebbero stati mai utilizzati per creare danni, un esempio che posso fare è quello dello SLAMMER un worm che ha bloccato decine di migliaia di sql server in tutto il mondo e che l'unico motivo per il quale ci sono stati tanti danni sono solo 2

1 gli utenti non hanno aggiornato il server sql anche se la patch era stata rilasciata circa 6 MESI PRIMA!!!!1
2 dopo aver trovato il bug la ms ha fatto la patch e gli sviluppatori "cattivi" hanno avuto mesi di tempo per scoprire la falla grazie alla ms stessa

quindi la risposta alla tua domenda è (DIPENDE)

considera che nel codice di windows 2000 sono stati contati dalla microsoft circa 65.000 pussibili falle di sicurezza (buffer overrun) ma che in tutta la vita di quel sistema operativo non ne verranno trovati e risolti piu di 300-500

e tutta la colpa non è della ms e dei loro programmatori ma del lingiaggio usato c/c+ che per natura non ha sistemi per bloccare efficacemente questo tipo di problema (per ora la protezzione nelle cpu di ultima generazione è l'unico sistema efficace anche se non nel 100% dei casi)

[vale56]

Quote:

Originariamente inviato da mjordan

Io invece mi continuo a domandare perchè Firefox a me non mi segnala neanche la presenza di un'update...

Molto probabilmente perché la tua distribuzione Linux ha disabilitato questa possibilità e firefox viene aggiornato via APT

[k0nt3]

Quote:

Originariamente inviato da mjordan

Scusate ma perchè a me il menu Guida-->Controlla Aggiornamenti risulta completamente disabilitato? Ovvero non ci posso cliccare...

a me succedeva con SUSE.. le soluzioni sono:
1) aspetti che suse watcher (o altro SW per update) ti rende disponibile l'update (di solito lo fa in fretta)
2) scarichi FF dal sito ufficiale e poi avrai disponibili gli updates come tutti gli altri

[Fx]

Quote:

Originariamente inviato da coschizza

e tutta la colpa non è della ms e dei loro programmatori ma del lingiaggio usato c/c+ che per natura non ha sistemi per bloccare efficacemente questo tipo di problema (per ora la protezzione nelle cpu di ultima generazione è l'unico sistema efficace anche se non nel 100% dei casi)

premesso che ho apprezzato il tuo post perchè va oltre ai soliti luoghi comuni e spiega come stanno davvero le cose (e ci aggiungo io: il fatto che i prodotti mozilla abbiano dei bug non mi scandalizza affatto, se è software ha bug - ma anche se è hardware eh ), volevo chiederti, relativamente al concetto che ho quotato, cosa ne dici di .NET e del codice managed: a me risulta che un'applicazione scritta in codice managed sia in grado di bloccare buffer overflow, puntatori fuori dall'intervallo eccetera eccetera prima che possano fare danno... e questo, per di più, senza bisogno di cambiare CPU. è così?

tra l'altro vista farà ampio uso del codice managed, e se ne ho capito bene i vantaggi il salto di qualità sarà notevole

Quote:

Originariamente inviato da Stargazer

Be' basta pensare che c'è gente che tiene attivati gli activeX in un certo browser e e-mail

cose che fan riflettere
quello che non capirò mai perchè questa gente usi un computer però

Sul client di posta elettronica d'accordo, sul browser proprio no... se il tuo problema sono gli ActiveX allora conviene utilizzare un browser alternativo ad IE, perchè utilizzare IE con gli ActiveX disabilitati è una cosa altamente limitante, visto che tutti i "plugin" per IE si appoggiano a questa tecnologia (come il Flash Player per IE, giusto per citarne uno).

[The_misterious]

hum Javascript disattivati su thunderbind e firefox aggiornato appena aperto che dire perfetto

[jiadin]

l'importante è che escano subito gli update, non come altri(ie o win) che a volte passano mesi...

Quote:

Originariamente inviato da coschizza

4 i malintenzionati prendono la patch e fanno "retro engineering" sui file modificati e trovano cosa viene cambiato (quindi la falla)
5 con queste informazioni viene creato un virus o o worm

C'è ben poco "retro engineering" da fare dato che le patch Microsoft non vanno a patchare internamente i file, ma rimpiazzano semplicemente interi file con le rispettive versioni aggiornate

Quote:

e tutta la colpa non è della ms e dei loro programmatori ma del lingiaggio usato c/c+ che per natura non ha sistemi per bloccare efficacemente questo tipo di problema (per ora la protezzione nelle cpu di ultima generazione è l'unico sistema efficace anche se non nel 100% dei casi)

Il linguaggio di programmazione è solo uno strumento, uno strumento che viene utilizzato dai programmatori. Il "programmatore" degno di questo nome difficilmente commette errori di questo genere. Se determinate cose non vengono "evitate" dai vari linguaggi che utilizzano managed code (Java, C#, etc.) è il programmatore a doverli evitare (come anche i memory leak quando non hai il garbage collector che ti para il cu*o). Per lo più quando il C/C++ è probabilmente il linguaggio di "medio livello" che concede il miglior rapporto rapidità di esecuzione/occupazione della memoria (a parità di algoritmo).