Topic: Scoperti due buchi in Firefox

[tradomero]

appena state scoperte due vulnerabilità di sicurezza classificate da Secunia con il massimo grado di pericolosità. per sfruttare la falla un sito dev'essere autorizzato ad installare le estensioni per il browser.

http://secunia.com/advisories/15292/

ciao
gigi

[miki64]

Notizia interessante, ma non andava postata in questa sezione...

[flod]

Sposto, per chi fosse interessato c'è anche in italiano
http://blogzilla.altervista.org/

[acerorosso]

Considerando la "debolezza" utilizza l'autorizzazione "Permetti ai siti di installare software" con relativa lista di siti autorizzati, chiedo agli esperti se per ora è sufficiente cancellare la lista dei siti autorizzati o al limite non autorizzare l'installazione di software.
Può essere scomodo, ma, se ho capito bene il problema, sicuro.

--
Ciao, Adriano

[flod]

Considerando la "debolezza" utilizza l'autorizzazione "Permetti ai siti di installare software" con relativa lista di siti autorizzati, chiedo agli esperti se per ora è sufficiente cancellare la lista dei siti autorizzati o al limite non autorizzare l'installazione di software.

Basta disattivare Javascript tout court.

Vista la gravità dei due problemi (è la prima volta che accade), credo che avremo a breve una nuova release.

[miki64]

... ed avremo a breve pure tante richieste: "...quando è pronta la nuova versione?"    

[klades]

Basta disattivare Javascript tout court.

Considerando il massiccio uso di Javascript nel Web, tanto vale dire non usare Firefox...
Comunque stando a quanto scritto qui:

Successful exploitation requires that the site is allowed to install software (default sites are "update.mozilla.org" and "addons.mozilla.org").

mi sembra che basti non inserire siti nell'elenco di quelli che possono installare software per evitare l'esecuzione di codici dannosi.
Ciao, Paolo

[PETER4]

bravo
se disabilitiamo javascripit la navigazione risulta inutile,quasi tutti i siti utilizzano javascript
io al momento sto usando internet explorer
aspettando che i buchi vengano rimossi

[jooliaan]

io al momento sto usando internet explorer
aspettando che i buchi vengano rimossi

Io al momento esco con una ragazza che ha il virus ebola in attesa che alla mia fidanzata passi l'influenza...

[tripleshift]

io al momento sto usando internet explorer
aspettando che i buchi vengano rimossi

Io al momento esco con una ragazza che ha il virus ebola in attesa che alla mia fidanzata passi l'influenza...

molto bellina jooliaan, moooolto bellina!

...

[acerorosso]

A leggere qui http://www.mozilla.org/security/announce/mfsa2005-42.html sembra che per il baco più grave la cancellazione dei siti autorizzati sia sufficiente;  quelli di default sono inoltre già protetti.

Per l'altro problema, quello dei cookies, consiglia di disattivare javascript quando si naviga su siti non affidabili, quindi raccomanda l'astinenza.
Può essere sufficiente un firewall (es. e-trust) che limiti l'installazione dei cookies e la cancellazione sistematica degli stessi? Probabilmnete equivale ancora all'astinenza, ma più comoda.

Certo che la soluzione di usare ie mi pare più rischiosa ancora (v. http://secunia.com/product/11/#statistics_solution).

Ciao, Adriano

[miki64]

A TUTTI I DETRATTORI DI FIREFOX:
Carissimi ragazzi, il giorno 9 maggio 2005 (leggete questo post ) venivano scoperti due gravi errori di programmazione (bug) del browser Firefox.
Oggi, 12 maggio 2005 (tre giorni dopo!) è già scaricabile dal sito di Mozilla Italia la versione 1.0.4, localizzata in italiano, che rimedia a tali bug.
(Il giorno 9, comunque, c'erano già delle Preview Release o come volete chiamarle voi che rimediavano a tali "bachi").
Meditate, ragazzi, meditate.
Già i bugs sono in misura notevolmente inferiore ad altri browser più blasonati... se poi vengono risolti così velocemente... deducete voi con quale browser navigare in Internet!

[Reb00t]

Ben detto

[pablo]

A TUTTI I DETRATTORI DI FIREFOX:
Carissimi ragazzi, il giorno 9 maggio 2005 (leggete questo post ) venivano scoperti due gravi errori di programmazione (bug) del browser Firefox.
Oggi, 12 maggio 2005 (tre giorni dopo!) è già scaricabile dal sito di Mozilla Italia la versione 1.0.4, localizzata in italiano, che rimedia a tali bug.
(Il giorno 9, comunque, c'erano già delle Preview Release o come volete chiamarle voi che rimediavano a tali "bachi").
Meditate, ragazzi, meditate.
Già i bugs sono in misura notevolmente inferiore ad altri browser più blasonati... se poi vengono risolti così velocemente... deducete voi con quale browser navigare in Internet!

Concordo (e sono pure riuscito a farlo capire a mio padre....lo capissero anche gli altri)

[flod]

Oggi, 12 maggio 2005 (tre giorni dopo!) è già scaricabile dal sito di Mozilla Italia la versione 1.0.4, localizzata in italiano, che rimedia a tali bug.

Aggiungo: ci sono stati due giorni di test per le versioni localizzate (build del 10 e dell'11 maggio) da rilasciare come release ufficiali contestualmente alla versione inglese.