Firefox, il panda amico del leopardo

Con l'ultimo aggiornamento dedicato alla sicurezza, gli sviluppatori hanno corretto otto vulnerabilità e incrementato la compatibilità del browser con l'imminente versione 10.5 di Mac OS X, anche nota come Leopard

Mountain View (USA) – Lo scorso venerdì Mozilla Foundation ha distribuito un aggiornamento per Firefox, il 2.0.0.8, che sistema otto vulnerabilità, tra le quali due potenzialmente gravi ed una relativa all’ormai ben noto problema degli URI . L’update ha anche migliorato la compatibilità di Firefox 2 con l’imminente Mac OS X 10.5 Leopard .

Le falle corrette da Firefox 2.0.0.8, elencate in questa pagina e sintetizzate qui da FrSIRT, comprendono due bug classificati come “critical” e utilizzabili per eseguire del codice in modalità remota: il primo problema è legato alla corruzione della memoria, mentre il secondo ad un non corretta gestione degli oggetti Script .

Tra le altre debolezze, valutate di rischio basso o moderato, ve n’è una legata al famigerato problema della validazione degli URI : quest’ultima patch, l’ennesima relativa alla gestione degli URI, rafforza il controllo di validità sugli indirizzi passati al browser da un’applicazione esterna, come un player multimediale o un client di email. L’ultima versione del browser introduce anche un meccanismo di sicurezza che, ogni qual volta Firefox esegue un’applicazione esterna, all’utente viene chiesto di autorizzare l’operazione ed eventualmente memorizzare questa scelta una volta per tutte (v. immagine sotto).

Come si ricorderà, di recente Microsoft ha ammesso che il problema degli URI è originato dall’accoppiata Windows XP/Internet Expoler 7, e che presto rilascerà una patch per risolvere la debolezza “a monte”, ossia lato sistema operativo. Il big di Redmond ha però sottolineato l’importanza di filtrare gli URI anche lato applicazione, così da avere una verifica incrociata.

Alcune delle vulnerabilità appena corrette in Firefox, tra le quali quella relativa alla corruzione della memoria, interessano anche Thunderbird e saranno corrette nella prossima release del noto email client di Mozilla.

Come si è detto, la versione Mac di Firefox 2.0.0.8 include anche una serie di migliorie e fix volti ad incrementare la compatibilità del browser con l’imminente Leopard .

“Prima del rilascio di Firefox 2.0.0.8, Firefox non girava granché bene su Leopard”, ha spiegato in questo post Asa Dotzler, noto sviluppatore di Firefox. “Ora molti problemi sono stati risolti, ma la compatibilità tra Firefox e Leopard non è ancora al 100%: contiamo di renderla tale molto presto”.

L’ultima versione di Firefox può essere scaricata manualmente da Mozillaitalia.org oppure attraverso la funzione di aggiornamento automatico integrata nel software.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • eventualmen te scrive:
    tinyurl
    Sono curioso di sapere come si comporta se si manda un'url come questa:http://tinyurl.com/lwrorche punta ad ebuddy.comNon uso msn messenger, quindi non posso verificare. Potete farlo voi?Se non lo filtra, il sistema fa schifo! Infatti con un semplice redirect sarebbe aggirabile.Se lo filtra bloccando l'intero dominio di tinyurl fa altrattanto schifo, perché priverebbe gli utenti di un servizio utile e perché servizi di redirecting ce ne sono a bizzeffe, non potranno mica bloccarli tutti.Provate e postate!
    • Tizio Caio scrive:
      Re: tinyurl
      No, ho provato e non filtra un fico secco :D
      • eventualmen te scrive:
        Re: tinyurl
        Ecco come la microsoft affronta i "problemi di sicurezza". Con metodi semplicemente aggirabili che non mancano però di svantaggiare, o quantomeno infastidire, l'utente medio, trattato alla stregua di un imbecille. Vai così MS!
  • Lemon scrive:
    Re: Questa cosa è grave.


    PS: Non me ne voglia nessuno, ma L'utente "Lemon"
    sembra uno stipendiato da microsoft da come la
    difende
    OoE invece no, mi dispiace. Le mie recenti installazioni hanno visto protagonista Ubuntu server 6.06 LTS, OCS NG Inventory, GLPI, Halyfax, FreeNAS ed altri software open.Inoltre sono certificato MS ed EUCIP. Strano vero? Una persona che usa più tecnologie??? Mai sentito?? Io contesto la mancanza di verità. Non parlo contro MS ma neppure a favore. Vorrei solo sapere da qualcuno cosa gli viene bloccato e se ne conosce il motivo. Per adesso ho solo sentito di ebuddy.com per la quale MS ha dato delle spiegazioni ragionevoli mi sembra (ragionevoli vuol dire che hanno un senso, aspetto altre info per farmi una idea più precisa)Mentre io appaio uno stipendiato MS (e non ci sarebbe nulla di male) qualcun altro invece appare come uno sparasentenze, un complottista, un perseguitato... ed il bello è che tutti quelli che ne hanno scritto male LO USANO!!!Io, lo ripeto, uso principalmente skype per le seguenti motivazioni:- ho il salvataggio automatico della conversazione- ho l'orario dei messaggi- i messaggi inviati ad un utente off-line arrivano veramente- se devo fare una chiamata vocale trovo che sia di qualità superiore al messenger così per la telecamera.Di spype però non mi piace il tipo di traffico che genera e che l'autenticazione proxy non funziona (almeno fino ad tre mesi fa)Adesso mi dirai che sono pagato da skype?
  • Guido scrive:
    sarà
    Il problema è che a me blocca anche il link a amsn...
    • Tizio Caio scrive:
      Re: sarà
      Infatti la protezione è lato server, non lato client.Faccio un esempio: non è aMSN che filtra il messaggio, ma il server. Quindi aMSN non può farci nulla.Invece la protezione contro l'invio di numerosi trilli è lato client: se provi a inviare trilli a raffica con Winzoz Live Messenger non puoi, ma con aMSN sì proprio perché è il programma che impone la limitazione, non il server.:)
  • memedesimo scrive:
    sono io fuori di testa..... o loro?
    se vi e' un "problema di sicurezza" si PATCHA tra l'altro eventuali "siti che frodano gli utenti" di sicuro vanno a superare sto blocco urlinsomma Pinocchio avrebbe avuto scuse piu convincenti
    • Lemon scrive:
      Re: sono io fuori di testa..... o loro?
      - Scritto da: memedesimo
      se vi e' un "problema di sicurezza" si PATCHA
      tra l'altro eventuali "siti che frodano gli
      utenti" di sicuro vanno a superare sto blocco
      url

      insomma Pinocchio avrebbe avuto scuse piu
      convincentiHai capito tutto.
    • Tizio Caio scrive:
      Re: sono io fuori di testa..... o loro?
      Infatti... basterebbe intercettare sul server di MSN i login provenienti dal sito di ebuddy e impedire loro di eseguire il login.Più semplice di così?Stupido protocollo chiuso... -.-
  • yenaplyskyn scrive:
    e l'aggiornamento obbligatorio?
    Nessuno parla anche del fatto che Messenger, da un pò di tempo, se non lo aggiorni e alla richiesta di farlo rispondi NO, non si collega?Non soi come la vedete voi ma io Messenger non lo utilizzo più, mi ha rotto le scatole che mi si impedisca di fare come vorrei.Perché lo devo aggiornare assolutamente? Perché impedirmi il collegamento? Come si permettono? Chi mi dice che l'aggiornamento, invece di contenere patch di sicurezza, contiene nuovi strumenti di controllo?
    • Lemon scrive:
      Re: e l'aggiornamento obbligatorio?

      Perché lo devo aggiornare assolutamente? Perché
      impedirmi il collegamento? Come si permettono?
      Chi mi dice che l'aggiornamento, invece di
      contenere patch di sicurezza, contiene nuovi
      strumenti di
      controllo?E chi mi dice che tu non lo vuoi aggiornare perchè vuoi usare qualche bug del client vecchio per rubare dati privati agli utenti?Mamma che discorsi...
      • gerry scrive:
        Re: e l'aggiornamento obbligatorio?
        - Scritto da: Lemon
        E chi mi dice che tu non lo vuoi aggiornare
        perchè vuoi usare qualche bug del client vecchio
        per rubare dati privati agli
        utenti?Da quandio un bug di un TUO software può rubare i MIEI dati?
        • Lemon scrive:
          Re: e l'aggiornamento obbligatorio?
          - Scritto da: gerry
          - Scritto da: Lemon


          E chi mi dice che tu non lo vuoi aggiornare

          perchè vuoi usare qualche bug del client vecchio

          per rubare dati privati agli

          utenti?

          Da quandio un bug di un TUO software può rubare i
          MIEI
          dati?Ma non saprei. Domanda difficilissima questa. Ci voleva un pionere dell'informatica per farmi capire che SOLO chi ha scritto il software può rubare i dati sfruttando un bug.Lo devo dire ai vari cracker in giro per il mondo.
    • gerry scrive:
      Re: e l'aggiornamento obbligatorio?
      - Scritto da: yenaplyskyn
      Non soi come la vedete voi ma io Messenger non lo
      utilizzo piùMiranda IM
      • Ehi scrive:
        Re: e l'aggiornamento obbligatorio?
        Io per un periodo ho provato Pidgin ma crashava troppo spesso :( Proverò Miranda
        • anonimo01 scrive:
          Re: e l'aggiornamento obbligatorio?
          - Scritto da: Ehi
          Io per un periodo ho provato Pidgin ma crashava
          troppo spesso :( Proverò
          Mirandama aMsn o jabber no?
          • Sgabbio scrive:
            Re: e l'aggiornamento obbligatorio?
            aMsn è un client alternativo a quello ufficiale di microsoft, ma usa lo stesso protocollo (ovviamente), ma le censure sono fatte a lato server, quindi serve poco questa cosa.Jabber è solo un protocollo aperto, che è supportato da molto client.-----------------------------------------------------------Modificato dall' autore il 22 ottobre 2007 17.23-----------------------------------------------------------
          • anonimo01 scrive:
            Re: e l'aggiornamento obbligatorio?
            - Scritto da: Sgabbio
            aMsn è un client alternativo a quello ufficiale
            di microsoft, ma usa lo stesso protocollo
            (ovviamente), ma le censure sono fatte a lato
            server, quindi serve poco questa
            cosa.ooops :$ l'è vero!
            Jabber è solo un protocollo aperto, che è
            supportato da molto
            client.infatti un mio amigo mi rompe le bolas ogni volta...va a finire che cambierò sul serio :)
  • Spirday scrive:
    M$ e il mese della sicurezza...
    Un po' come dare il nobel per la pace a Bin Laden...
  • MeX scrive:
    grazie Microsoft...
    "se qualche URL "non passa" nelle conversazioni è perché si trova in una block list dell'azienda per un motivo o per l'altro"adesso è tutto a posto! :)
  • mariomonti scrive:
    e vero
    http://www.tgaserver.net
  • danieleMM scrive:
    Voglio scegliere io, grazie!
    Volete dare un servizio all'utente o DECIDERE PER LUI?se Microsoft veramente si preoccupasse dell'utente allora attiverebbe un servizio di filtro solo sugli account che lo richiedono impostandolo tra le opzioni!Se ho attivato il filtro al posto del link riceverò qualcosa come: "link pericoloso censurato"altrimenti riceverò il linke poi scusate ma la scusa: "i link che sono nella black list ci sono finiti per un motivo o per l'altro" che vorrebbe dire?????cmq è ovvio che non ammetteranno mai che si tratti di censura a scopi commerciali se anche è così
    • dillo scrive:
      Re: Voglio scegliere io, grazie!
      - Scritto da: danieleMM[cut]sono d'accordo
    • Lemon scrive:
      Re: Voglio scegliere io, grazie!
      - Scritto da: danieleMM
      Volete dare un servizio all'utente o DECIDERE PER
      LUI?
      Ma che furbo che sei! Tu vuoi decidere per te? Perchè scegli MS allora? se non ti va bene cambia. Visto che tutti i tuoi url che posti vengono CENSURATI. Perchè evidentemetne è questo il tuo problema no?
      se Microsoft veramente si preoccupasse
      dell'utente allora attiverebbe un servizio di
      filtro solo sugli account che lo richiedono
      impostandolo tra le
      opzioni!
      L'opzione c'è: non usarlo.
      Se ho attivato il filtro al posto del link
      riceverò qualcosa come: "link pericoloso
      censurato"
      altrimenti riceverò il link
      Mi sembra giusto, ma non cambia il fatto che te lo bloccano.
      e poi scusate ma la scusa: "i link che sono nella
      black list ci sono finiti per un motivo o per
      l'altro" che vorrebbe
      dire?????
      Che non te lo stanno a giustificare.
      cmq è ovvio che non ammetteranno mai che si
      tratti di censura a scopi commerciali se anche è
      cosìSe lo dici tu...
      • danieleMM scrive:
        Re: Voglio scegliere io, grazie!
        lo eviterei volentierise solo molte delle persone con cui ho bisogno di comunicare passassero a jabber
        • Lemon scrive:
          Re: Voglio scegliere io, grazie!
          - Scritto da: danieleMM
          lo eviterei volentieri
          se solo molte delle persone con cui ho bisogno di
          comunicare passassero a
          jabberMa molte delle persone che conosci probabilmente usano skype...
      • omg scrive:
        Re: Voglio scegliere io, grazie!
        si concordo...quest uomo è stipendiato dalla Microsoz
  • oiber scrive:
    infatti se ne sono accorti tutti
    "Ma quale censura, se censurassimo qualcosa ci sarebbe la rivoluzione, in Italia abbiamo milioni di utenti, se si cambia anche solo uno spillo se ne accorgono tutti"Infatti, se siamo qui a parlarne se ne sono accorti tutti...e poi ammesso e non concesso che avessero ragione, la black list dovrebbe essere opzionale (tipo quella di Firefox), non ho mai delegato a Microsoft la mia sicurezza (non sono mica pazzo), e non è neanche mia mamma che deve dirmi da chi non devo accettare le caramelle...
    • Sco scrive:
      Re: infatti se ne sono accorti tutti
      ma nessuno ti impone di usare messenger.
    • Lemon scrive:
      Re: infatti se ne sono accorti tutti

      non ho mai delegato a
      Microsoft la mia sicurezza (non sono mica pazzo),
      e non è neanche mia mamma che deve dirmi da chi
      non devo accettare le
      caramelle...Ma cosa dici? se usi Messenger la hai delegata eccome....Qui c'è il solito discorso: se invece passavano url di siti con malware? allora MS e cattivona vero?Ci sono tanti client e servizi, non capisco perchè si debba usare MS.
      • Ciap et scrive:
        Re: infatti se ne sono accorti tutti

        Ci sono tanti client e servizi, non capisco
        perchè si debba usare
        MS.I client non fanno la differenza, se il filtro è sul server.Quando ai servizi, se la mass^H^H^H^H gente si trova preinstallato MSN Messenger, pensi forse che vada a cercarsi un'alternativa?
        • Lemon scrive:
          Re: infatti se ne sono accorti tutti
          - Scritto da: Ciap et

          Ci sono tanti client e servizi, non capisco

          perchè si debba usare

          MS.

          I client non fanno la differenza, se il filtro è
          sul
          server.
          Si hai ragione, ho scritto "client e servizi" infatti. Io mi trovo bene con skype ad esempio perchè memorizza le sessioni con gli orari.
          Quando ai servizi, se la mass^H^H^H^H gente si
          trova preinstallato MSN Messenger, pensi forse
          che vada a cercarsi
          un'alternativa?SI! lo penso. Guarda skype ad esempio, lo hanno praticamente tutti.
  • Gabriele Barni scrive:
    giustificazioni insufficienti
    Il vecchio url del mio blog rimane bloccato dal spara messaggini di microsoft, e trattasi sicuramente di un "errore", ... dato che nella mia lista ci stanno giusto 10 - 15 contatti amici e niente più.Ora a me davvero poco importa che il mio url viene bloccato da microsoft, però suppongo che a parecchia gente possa dar fastidio soprattutto perchè diventa davvero difficile capire quando un messaggio è stato effetivamente recapitato o quando è stato filtrato.QUOTE ////"è perché si trova in una block list dell'azienda per un motivo o per l'altro..." ///ah infinite grazie per la spiegazione, e chi decide quali sono i svariegati motivi e criteri che usate? forse conteggiate quante volte viene mandato un certo URL leggendo tutti i messaggi che ci scriviamo privatamente? (probabilmente questo viola già le più basilari leggi della privacy) , ma mi lascia ancora più perplesso.. ad esempio non ci vuole molto a capire che un URL come www.youtube.com oppure www.google.com.. tra i vari utenti di msn venga ripetuta infinite volte nel giro di un ora.. però microsoft non la tocca.. ovvio se decide di mettere quella in block list, come giustamente dicono i responsabili MS italia scoppierebbe una rivolta.Ma tutti gli altri indirizzi che per un motivo o per l'altro possono essere scomodi a MS con quale facilità vengono bloccati dalla BLOCK LIST?ma scusate.. bloccare un indirizzo non è la stessa cosa che censurarlo ? sbaglio o era proprio P.I. a denunciare l'Iran che BLOCCAVA l'accesso a GOOGLE ? chiudo questo brainstorming notturno augurandovi buona notte a tutti.gb
    • Lemon scrive:
      Re: giustificazioni insufficienti
      - Scritto da: Gabriele Barni
      Il vecchio url del mio blog rimane bloccato dal
      spara messaggini di microsoft, e trattasi
      sicuramente di un "errore", ... dato che nella
      mia lista ci stanno giusto 10 - 15 contatti amici
      e niente
      più.

      Ora a me davvero poco importa che il mio url
      viene bloccato da microsoft, però suppongo che a
      parecchia gente possa dar fastidio soprattutto
      perchè diventa davvero difficile capire quando un
      messaggio è stato effetivamente recapitato o
      quando è stato
      filtrato.
      E invece è importate sapere perchè vieni bloccato, non lo capisci? potresti avere un problema di sicurezza grave, spam che parte dal tuo sito, pagine di phishing a tue insaputa o altro ancora.Insomma, preferisci lamentarti senza sapere come sei finito in quella lista?Magari è un errore di MS e allora avresti tutto il diritto di spalare me..da sopra, invece no, parliamo così tanto per dire....
      • Gabriele Barni scrive:
        Re: giustificazioni insufficienti


        E invece è importate sapere perchè vieni
        bloccato, non lo capisci? potresti avere un
        problema di sicurezza grave, spam che parte dal
        tuo sito, pagine di phishing a tue insaputa o
        altro
        ancora.
        Insomma, preferisci lamentarti senza sapere come
        sei finito in quella
        lista?
        Magari è un errore di MS e allora avresti tutto
        il diritto di spalare me..da sopra, invece no,
        parliamo così tanto per
        dire....se rileggi con attenzione è proprio quello che ho detto anche io.ho letto che poco più sotto state sollevando questioni vecchie come il mondo "nessuno ti costringe di usare msn", imho totalmente OT.
        • Lemon scrive:
          Re: giustificazioni insufficienti

          se rileggi con attenzione è proprio quello che ho
          detto anche
          io.

          ho letto che poco più sotto state sollevando
          questioni vecchie come il mondo "nessuno ti
          costringe di usare msn", imho totalmente
          OT.Ho riletto con attenzione. Non ti poni seri problemi del perchè sei bloccato, non hai chiesto a MS. Hai fatto solo delle supposizioni che, a mio parere, hanno anche scarsi contenuti tecnici. Io fossi in te cercherei delle risposte da MS.
          • Gabriele Barni scrive:
            Re: giustificazioni insufficienti


            Ho riletto con attenzione. Non ti poni seri
            problemi del perchè sei bloccato, non hai chiesto
            a MS. Hai fatto solo delle supposizioni che, a
            mio parere, hanno anche scarsi contenuti tecnici.
            Io fossi in te cercherei delle risposte da
            MS.Lemon sul fatto che non mi sono mai informato hai proprio ragione, ma devi considerare che uso msn anche pochissimi minuti al giorno e soprattutto per lavoro ... quindi come ho detto a me davvero poco importa (anzi proprio NON importa) .. come dicevo.. suppongo che però esistono persone a cui può importare molto di più che il loro sito viene filtrato.A questi censurati senza un conosciuto motivo, lascerei la fatica di informarsi attraverso microsoft dei vari approfondimenti tecnici e se vorranno sarò ben lieto di leggerne i responsi.Mi pare che P.I. così abbia fatto.. e infatti questo topic si chiama giustificazioni insufficienti.. quelle fornite da MS come dici tu mi sembrano proprio di "scarsi contenuti tecnici."
          • Lemon scrive:
            Re: giustificazioni insufficienti


            Mi pare che P.I. così abbia fatto.. e infatti
            questo topic si chiama giustificazioni
            insufficienti.. quelle fornite da MS come dici tu
            mi sembrano proprio di "scarsi contenuti
            tecnici."Io credo che sia legittimo il dubbio che MS pratichi politiche scorrette. Al contempo mi pare di capire che MS abbia giustificato le sue scelte senza entrare nel dettaglio dei singoli URL "censurati" (problemi di sicurezza ecc). A questo punto quindi la palla ripassa ai "dubbiosi" che dovrebbero portare qualche esempio di link bloccati senza motivo e giustificazione. Il tuo poteva essere un esempio ma purtroppo, per i motivi che hai enunciato, non hai richiesto le motivazioni.Io non voglio giustificare MS, voglio solo capire se effettivamente blocca qualcosa a suo piacimento o se ha motivi validi, tutto qua.
Chiudi i commenti