Mozilla conferma una vulnerabilità in Firefox

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwupgrade.it/news/sicurez...fox_23998.html

In Firefox è presente una falla che potrebbe essere sfruttata per reperire informazioni sulle applicazioni installate nel sistema. Al momento il team di Mozilla sta studiando il problema

Click sul link per visualizzare la notizia.

[MaxArt]

Beh, non è certo la prima volta che FF ha una vulnerabilità, e questa manco mi pare delle peggiori, tanto da meritarsi una news

Ma come fa uno a chiamarsi WINDOW?

[matteo1]

che cosa sono i flat addon?
Sono le tutte estensioni o solo alcune?
Adblock e Noscript possono proteggere,o sono anch'essi addon flat?

[D3stroyer]

si ma perchè quando c'è una falla tutti vanno a pubblicizzarla? Ma fatelo DOPO che l'hanno corretta, no? Poi ci si lamenta che si viene attaccati da ip sconosciuti..

[renaulto]

Quote:

Originariamente inviato da D3stroyer

si ma perchè quando c'è una falla tutti vanno a pubblicizzarla? Ma fatelo DOPO che l'hanno corretta, no? Poi ci si lamenta che si viene attaccati da ip sconosciuti..

Perchè secondo i sostenitori della full disclosure, la divulgazione delle vulnerabilità fa più bene che male. In particolare, storicamente, l'esigenza è nata per contrastare l'abitudine dei produttori di software di nascondere le vulnerabilità senza risolverle.

[gianni1879]

per fortuna uso Opera

[hurtle]

concordo con la full disclosure, ma visto che a quanto pare la vulnerabilità è stata scoperta da loro prima che da qualche malintenzionato.... potevano semplicemente dire che è stata scoperta una vulnerabilità generica, almeno finchè non la si risolve...


"Ma come fa uno a chiamarsi WINDOW?" haha

[TheMonzOne]

Quote:

Originariamente inviato da D3stroyer

si ma perchè quando c'è una falla tutti vanno a pubblicizzarla? Ma fatelo DOPO che l'hanno corretta, no? Poi ci si lamenta che si viene attaccati da ip sconosciuti..

Ehm...forse perchè almeno se hai installato tali add-ons li puoi togliere ed evitare di essere attaccato finchè non risolvono il bug? Oppure se non li hai installati di avvisano che è meglio non farlo...

[Rand]

Quote:

Originariamente inviato da hurtle

concordo con la full disclosure, ma visto che a quanto pare la vulnerabilità è stata scoperta da loro prima che da qualche malintenzionato.... potevano semplicemente dire che è stata scoperta una vulnerabilità generica, almeno finchè non la si risolve...


"Ma come fa uno a chiamarsi WINDOW?" haha

Mozilla ha una policy per le vulnerabilità che vengono riportate/scoperte: vengono rese pubbliche dopo un certo tempo fisso(credo 1 settimana, ma dovrei controllare). Così gli sviluppatori hanno il tempo di controllarne la gravità e prendere provvedimenti urgenti nel caso di vulnerabilità critiche.

Poi uno può rilasciarla pubblicamente invece che in via riservata su bugzilla, ma perde i 500 $ e la maglietta .

Window Snyder prima lavorava in Microsoft ed è stata "security lead" di Microsoft Windows XP Service Pack 2 and Windows Server 2003

[xxxyyy]

Sarebbe utile avere una lista di questi add-on flat. Qualcuno me la indicherebbe gentilmente?
Grazie!

[Cimmo]

download statusbar 0.9.5.3 rattoppa per il momento... non e' una soluzione finale, ma nell'attesa va bene.

[Cimmo]

Quote:

Originariamente inviato da xxxyyy

Sarebbe utile avere una lista di questi add-on flat. Qualcuno me la indicherebbe gentilmente?
Grazie!

l'hai letta la news o ti sei fermato alle prime 2 righe?

[D3stroyer]

Quote:

Originariamente inviato da TheMonzOne

Ehm...forse perchè almeno se hai installato tali add-ons li puoi togliere ed evitare di essere attaccato finchè non risolvono il bug? Oppure se non li hai installati di avvisano che è meglio non farlo...

certo, perchè è risaputo che qualsiasi utilizzatore di firefox navighi tutto il giorno per scoprire se hanno trovato un bug e cosa deve "aggiungere/rimuovere" per stare tranquillo.


...

Quote:

Originariamente inviato da Cimmo

l'hai letta la news o ti sei fermato alle prime 2 righe?

Nella news ne sono specificate solo 2 come esempio

[xxxyyy]

Quote:

Originariamente inviato da Cimmo

l'hai letta la news o ti sei fermato alle prime 2 righe?

Ma pensa te... ma te le righe che hai letto le hai capite?

[Cimmo]

Quote:

Originariamente inviato da ekerazha

Nella news ne sono specificate solo 2 come esempio

sono andato a guardare il bug report di mozilla e manco li' c'e' una lista completa quindi...

[uvz]

Quote:

Originariamente inviato da hurtle

concordo con la full disclosure, ma visto che a quanto pare la vulnerabilità è stata scoperta da loro prima che da qualche malintenzionato.... potevano semplicemente dire che è stata scoperta una vulnerabilità generica, almeno finchè non la si risolve.

Dicendola pubblicamente più persone possibili ne vengono a conoscenza ed più probabile, statisticamente parlando, di trovare utenti nel mondo che lavorino per risolverla. Visto che la maggioranza della gente usa il computer per usi benevoli rispetto ai malitenzionati (grandissima cazzata) questa divulgazione delle vulnerabilità fa più bene che male.
mia opinione personale

Quote:

Originariamente inviato da gianni1879

per fortuna uso Opera

Anche io uso Opera e ne sono contento ma per la sua elevata qualità. Anche lui è difettato come tutti i sw del mondo; ci saranno sempre nuove di vulnerabilità, all'infinito, è normale.

[mak77]

la questione sul security patch disclosure di Mozilla è molto semplice.

Essendo firefox un progetto open source tutto il codice e le patch sono sotto gli occhi di tutti, per cui se vengono scovati 10 bug di sicurezza, tutti e 10 saranno noti al pubblico (mozilla tra l'altro ha un blog dedicato a queste patch, in cui vengono puntualmente pubblicati tutti i bug scovati).
In un software closed quale può essere opera o ie, gli unici bug scovati sono quelli che qualche hacker è andato a scovare volutamente, in realtà non sappiamo dietro le quante quanti bug di sicurezza abbiano fixato i due team di sviluppo con nuove versioni o patch.
Questo non-full disclosure delle reali patch non è solo controproducente da un punto di vista del marketing (poco tempo fa il team di ie7 ha annunciato che avevano fixato pochi bug di sicurezza, solo che il conto lo faceva solo su quelli noti, non su quelli sistemati internamente), ma anche da un punto di vista della nostra sicurezza come utenti (potrebbero decidere di sistemare un bug dopo 6 mesi tanto noi non ne siamo a conoscenza)
Il vantaggio di Mozilla è che non può permetterselo, se qualcuno trova un bug sarà noto a tutti entro una settimana, e la patch deve essere rilasciata prima possibile. Su questo non possiamo che guadagnarci tutti!

[Cimmo]

Quote:

Originariamente inviato da mak77

la questione sul security patch disclosure di Mozilla è molto semplice.

Essendo firefox un progetto open source tutto il codice e le patch sono sotto gli occhi di tutti, per cui se vengono scovati 10 bug di sicurezza, tutti e 10 saranno noti al pubblico

falso, alcuni bug report non sono pubblici se non finche' la falla e' stata chiusa.
Il fatto che tu possa vedere *molti* di questi bug report non vuol dire che tu li possa vedere *tutti*

Quote:

Originariamente inviato da Cimmo

sono andato a guardare il bug report di mozilla e manco li' c'e' una lista completa quindi...

Quindi ne' la news ne' il bugreport soddisfano la richiesta di "xxxyyy"