Mozilla Firefox e Thunderbird attenzione a Javascript

Mozilla Firefox e Thunderbird attenzione a Javascript

Falle di sicurezza in Thunderbird e Firefox: disponibile l'aggiornamento per il browser web

di pubblicata il , alle 17:21 nel canale Sicurezza
FirefoxMozilla
 
Sono 8 le vulnerabilità evidenziate nei prodotti Mozilla, precisamente Mozilla Suite, Mozilla Firefox e Mozilla Thunderbird, alcune delle quali giudicate critiche e che possono mettere in serio pericolo la sicurezza dei pc sui quali sono installati.

Estremamente critica è stata giudicata la vulnerabilità che avviene con un'errata gestione della funzione "XULDocument.persist()", che affligge tutti e tre i prodotti della società.

Sfruttando questa falla è possibile eseguire da remoto comandi JavaScript con i permessi che il browser ha nel sistema.

Tra le vulnerabilità gravi, seppur non critiche, è coinvolto anche l'engine che gestisce i JavaScript e il supporto a E4X, SVG e Canvas.

Mentre per Firefox è stato rilasciato un aggiornamento alla versione 1.5.0.1, Thunderbird risulta ancora vulnerabile.

Si consiglia dunque di disattivare il supporto ai JavaScript nelle e-mail, se attivo, andando su Tools - Options - Privacy - General - Block JavaScript in mail messages.

E, ovviamente, si consiglia caldamente di aggiornare Firefox se non lo aveste ancora fatto.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

124 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
liviux03 Febbraio 2006, 17:30 #1
C'è da dire che, come promesso, la versione 1.5 si aggiorna molto più facilmente delle precedenti. Quasi automaticamente, ma non troppo. Cioè non "alle tue spalle".
(messaggio inserito con Konqueror, che è diventato un browser di tutto rispetto)
riva.dani03 Febbraio 2006, 17:49 #2
E chi li ha mai attivati i JavaScript in TB? Tuttalpiù che sono disattivati di default :o
Sammy.7303 Febbraio 2006, 17:50 #3
chissà come faccio a vivere con FF 1.0.7
riva.dani03 Febbraio 2006, 17:52 #4
@liviux

Era davvero una buona idea anche quella degli aggiornamenti cumulativi (scaricavi 700KB circa et voilà. Peccato che in questo caso, ad esempio, mi ha detto: tentativo fallito, devo scaricare l'aggiornamento completo: 6.1MB
nonikname03 Febbraio 2006, 17:56 #5
CDV : appena un software guadagna quote di mercato , viene scrupolosamente sondato alla ricerca di bug e falle (+ o - pericolose) per mettere in guardia l'utenza sprovveduta che pensava di andare avanti senza antivirus e antimalware...
Naturalmente la maggiorparte di queste falle vengono scoperte proprio da persone legate allo sviluppo di software anti-qualcosa !!!
Infatti mi sono sempre chiesto come mai , quando vengono trovati questi bug , per quale assurdo motivo vengono resi di pubblico dominio invece di tenerli nascosti ai coder , che dopo aver fatto colazione , la prima cosa che fanno è leggere il bollettino microsoft , McAfee e Symantec...

Mah !!! peccato , è + di un anno che gironzolo su qualsiasi sito , senza antivirus.. e con FF sono sempre riuscito a non essere mai contagiato ... (faccio lo scan on line con panda settimanalmente) e anche avendo adaware , gli spyware rilevati (usando FiFox come brosware) sono quasi sempre inesistenti ...
E' nato prima l'uovo(virus) o la gallina(antivirus)??? chi lo sa alzi la mano.....
vale5603 Febbraio 2006, 18:09 #6
Originariamente inviato da: nonikname]
E' nato prima l'uovo(virus) o la gallina(antivirus)??? chi lo sa alzi la mano..... [/QUOTE]

In questo caso è
http://it.wikipedia.org/wiki/Virus_(informatica[/url]) )
Comunque la stessa notizia su PI riporta questa errata

[quote]
Update: La vulnerabilità segnalata da FrSIRT non è tra quelle elencate qui da Secunia, e che Mozilla Foundation ha corretto con la recente minor release di Firefox. Ci scusiamo con tutti i lettori per aver citato Secunia: siamo stati ingannati da un advisory pubblicato da questa società e riguardante non Firefox, ma Mozilla Suite.


Da tutte le notizie in rete parrebbe, quindi, che le citicità siano state risolte dalla versione 1.5.0.1
mjordan03 Febbraio 2006, 18:15 #7
Originariamente inviato da: liviux
C'è da dire che, come promesso, la versione 1.5 si aggiorna molto più facilmente delle precedenti. Quasi automaticamente, ma non troppo. Cioè non "alle tue spalle".
(messaggio inserito con Konqueror, che è diventato un browser di tutto rispetto)


Io invece mi continuo a domandare perchè Firefox a me non mi segnala neanche la presenza di un'update...
mjordan03 Febbraio 2006, 18:16 #8
Scusate ma perchè a me il menu Guida-->Controlla Aggiornamenti risulta completamente disabilitato? Ovvero non ci posso cliccare...
sirus03 Febbraio 2006, 18:22 #9
Originariamente inviato da: Redazione
...
Sfruttando questa falla è possibile eseguire da remoto comandi JavaScript con i permessi che il browser ha nel sistema.
...

Quelli di un normalissimo utente USER sia in Windows che in Linux...comunque l'update a Firefox 1.5.0.1 è stato automatico sia su Windows che su Debian
Stargazer03 Febbraio 2006, 18:27 #10
Originariamente inviato da: riva.dani
E chi li ha mai attivati i JavaScript in TB? Tuttalpiù che sono disattivati di default :o

Be' basta pensare che c'è gente che tiene attivati gli activeX in un certo browser e e-mail

cose che fan riflettere
quello che non capirò mai perchè questa gente usi un computer però

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^