Mountain View (USA) – Lo scorso venerdì Mozilla Foundation ha distribuito un aggiornamento per Firefox, il 2.0.0.8, che sistema otto vulnerabilità, tra le quali due potenzialmente gravi ed una relativa all’ormai ben noto problema degli URI . L’update ha anche migliorato la compatibilità di Firefox 2 con l’imminente Mac OS X 10.5 Leopard .
Le falle corrette da Firefox 2.0.0.8, elencate in questa pagina e sintetizzate qui da FrSIRT, comprendono due bug classificati come “critical” e utilizzabili per eseguire del codice in modalità remota: il primo problema è legato alla corruzione della memoria, mentre il secondo ad un non corretta gestione degli oggetti Script .
Tra le altre debolezze, valutate di rischio basso o moderato, ve n’è una legata al famigerato problema della validazione degli URI : quest’ultima patch, l’ennesima relativa alla gestione degli URI, rafforza il controllo di validità sugli indirizzi passati al browser da un’applicazione esterna, come un player multimediale o un client di email. L’ultima versione del browser introduce anche un meccanismo di sicurezza che, ogni qual volta Firefox esegue un’applicazione esterna, all’utente viene chiesto di autorizzare l’operazione ed eventualmente memorizzare questa scelta una volta per tutte (v. immagine sotto).
Come si ricorderà, di recente Microsoft ha ammesso che il problema degli URI è originato dall’accoppiata Windows XP/Internet Expoler 7, e che presto rilascerà una patch per risolvere la debolezza “a monte”, ossia lato sistema operativo. Il big di Redmond ha però sottolineato l’importanza di filtrare gli URI anche lato applicazione, così da avere una verifica incrociata.
Alcune delle vulnerabilità appena corrette in Firefox, tra le quali quella relativa alla corruzione della memoria, interessano anche Thunderbird e saranno corrette nella prossima release del noto email client di Mozilla.
Come si è detto, la versione Mac di Firefox 2.0.0.8 include anche una serie di migliorie e fix volti ad incrementare la compatibilità del browser con l’imminente Leopard .
“Prima del rilascio di Firefox 2.0.0.8, Firefox non girava granché bene su Leopard”, ha spiegato in questo post Asa Dotzler, noto sviluppatore di Firefox. “Ora molti problemi sono stati risolti, ma la compatibilità tra Firefox e Leopard non è ancora al 100%: contiamo di renderla tale molto presto”.
L’ultima versione di Firefox può essere scaricata manualmente da Mozillaitalia.org oppure attraverso la funzione di aggiornamento automatico integrata nel software.
-
giustificazioni insufficienti
Il vecchio url del mio blog rimane bloccato dal spara messaggini di microsoft, e trattasi sicuramente di un "errore", ... dato che nella mia lista ci stanno giusto 10 - 15 contatti amici e niente più.Ora a me davvero poco importa che il mio url viene bloccato da microsoft, però suppongo che a parecchia gente possa dar fastidio soprattutto perchè diventa davvero difficile capire quando un messaggio è stato effetivamente recapitato o quando è stato filtrato.QUOTE ////"è perché si trova in una block list dell'azienda per un motivo o per l'altro..." ///ah infinite grazie per la spiegazione, e chi decide quali sono i svariegati motivi e criteri che usate? forse conteggiate quante volte viene mandato un certo URL leggendo tutti i messaggi che ci scriviamo privatamente? (probabilmente questo viola già le più basilari leggi della privacy) , ma mi lascia ancora più perplesso.. ad esempio non ci vuole molto a capire che un URL come www.youtube.com oppure www.google.com.. tra i vari utenti di msn venga ripetuta infinite volte nel giro di un ora.. però microsoft non la tocca.. ovvio se decide di mettere quella in block list, come giustamente dicono i responsabili MS italia scoppierebbe una rivolta.Ma tutti gli altri indirizzi che per un motivo o per l'altro possono essere scomodi a MS con quale facilità vengono bloccati dalla BLOCK LIST?ma scusate.. bloccare un indirizzo non è la stessa cosa che censurarlo ? sbaglio o era proprio P.I. a denunciare l'Iran che BLOCCAVA l'accesso a GOOGLE ? chiudo questo brainstorming notturno augurandovi buona notte a tutti.gbGabriele BarniRe: giustificazioni insufficienti
- Scritto da: Gabriele Barni> Il vecchio url del mio blog rimane bloccato dal> spara messaggini di microsoft, e trattasi> sicuramente di un "errore", ... dato che nella> mia lista ci stanno giusto 10 - 15 contatti amici> e niente> più.> > Ora a me davvero poco importa che il mio url> viene bloccato da microsoft, però suppongo che a> parecchia gente possa dar fastidio soprattutto> perchè diventa davvero difficile capire quando un> messaggio è stato effetivamente recapitato o> quando è stato> filtrato.>E invece è importate sapere perchè vieni bloccato, non lo capisci? potresti avere un problema di sicurezza grave, spam che parte dal tuo sito, pagine di phishing a tue insaputa o altro ancora.Insomma, preferisci lamentarti senza sapere come sei finito in quella lista?Magari è un errore di MS e allora avresti tutto il diritto di spalare me..da sopra, invece no, parliamo così tanto per dire....LemonRe: giustificazioni insufficienti
> > E invece è importate sapere perchè vieni> bloccato, non lo capisci? potresti avere un> problema di sicurezza grave, spam che parte dal> tuo sito, pagine di phishing a tue insaputa o> altro> ancora.> Insomma, preferisci lamentarti senza sapere come> sei finito in quella> lista?> Magari è un errore di MS e allora avresti tutto> il diritto di spalare me..da sopra, invece no,> parliamo così tanto per> dire....se rileggi con attenzione è proprio quello che ho detto anche io.ho letto che poco più sotto state sollevando questioni vecchie come il mondo "nessuno ti costringe di usare msn", imho totalmente OT.Gabriele BarniRe: giustificazioni insufficienti
> se rileggi con attenzione è proprio quello che ho> detto anche> io.> > ho letto che poco più sotto state sollevando> questioni vecchie come il mondo "nessuno ti> costringe di usare msn", imho totalmente> OT.Ho riletto con attenzione. Non ti poni seri problemi del perchè sei bloccato, non hai chiesto a MS. Hai fatto solo delle supposizioni che, a mio parere, hanno anche scarsi contenuti tecnici. Io fossi in te cercherei delle risposte da MS.Lemoninfatti se ne sono accorti tutti
"Ma quale censura, se censurassimo qualcosa ci sarebbe la rivoluzione, in Italia abbiamo milioni di utenti, se si cambia anche solo uno spillo se ne accorgono tutti"Infatti, se siamo qui a parlarne se ne sono accorti tutti...e poi ammesso e non concesso che avessero ragione, la black list dovrebbe essere opzionale (tipo quella di Firefox), non ho mai delegato a Microsoft la mia sicurezza (non sono mica pazzo), e non è neanche mia mamma che deve dirmi da chi non devo accettare le caramelle...oiberRe: infatti se ne sono accorti tutti
ma nessuno ti impone di usare messenger.ScoRe: infatti se ne sono accorti tutti
- Scritto da: Sco> ma nessuno ti impone di usare messenger.aMSN / jabberanonimo01Re: infatti se ne sono accorti tutti
> non ho mai delegato a> Microsoft la mia sicurezza (non sono mica pazzo),> e non è neanche mia mamma che deve dirmi da chi> non devo accettare le> caramelle...Ma cosa dici? se usi Messenger la hai delegata eccome....Qui c'è il solito discorso: se invece passavano url di siti con malware? allora MS e cattivona vero?Ci sono tanti client e servizi, non capisco perchè si debba usare MS.LemonRe: infatti se ne sono accorti tutti
> Ci sono tanti client e servizi, non capisco> perchè si debba usare> MS.I client non fanno la differenza, se il filtro è sul server.Quando ai servizi, se la mass^H^H^H^H gente si trova preinstallato MSN Messenger, pensi forse che vada a cercarsi un'alternativa?Ciap etRe: infatti se ne sono accorti tutti
- Scritto da: Ciap et> > Ci sono tanti client e servizi, non capisco> > perchè si debba usare> > MS.> > I client non fanno la differenza, se il filtro è> sul> server.> Si hai ragione, ho scritto "client e servizi" infatti. Io mi trovo bene con skype ad esempio perchè memorizza le sessioni con gli orari.> Quando ai servizi, se la mass^H^H^H^H gente si> trova preinstallato MSN Messenger, pensi forse> che vada a cercarsi> un'alternativa?SI! lo penso. Guarda skype ad esempio, lo hanno praticamente tutti.LemonVoglio scegliere io, grazie!
Volete dare un servizio all'utente o DECIDERE PER LUI?se Microsoft veramente si preoccupasse dell'utente allora attiverebbe un servizio di filtro solo sugli account che lo richiedono impostandolo tra le opzioni!Se ho attivato il filtro al posto del link riceverò qualcosa come: "link pericoloso censurato"altrimenti riceverò il linke poi scusate ma la scusa: "i link che sono nella black list ci sono finiti per un motivo o per l'altro" che vorrebbe dire?????cmq è ovvio che non ammetteranno mai che si tratti di censura a scopi commerciali se anche è cosìdanieleMMRe: Voglio scegliere io, grazie!
- Scritto da: danieleMM[cut]sono d'accordodilloRe: Voglio scegliere io, grazie!
- Scritto da: danieleMM> Volete dare un servizio all'utente o DECIDERE PER> LUI?> Ma che furbo che sei! Tu vuoi decidere per te? Perchè scegli MS allora? se non ti va bene cambia. Visto che tutti i tuoi url che posti vengono CENSURATI. Perchè evidentemetne è questo il tuo problema no?> se Microsoft veramente si preoccupasse> dell'utente allora attiverebbe un servizio di> filtro solo sugli account che lo richiedono> impostandolo tra le> opzioni!> L'opzione c'è: non usarlo.> Se ho attivato il filtro al posto del link> riceverò qualcosa come: "link pericoloso> censurato"> altrimenti riceverò il link> Mi sembra giusto, ma non cambia il fatto che te lo bloccano.> e poi scusate ma la scusa: "i link che sono nella> black list ci sono finiti per un motivo o per> l'altro" che vorrebbe> dire?????> Che non te lo stanno a giustificare.> cmq è ovvio che non ammetteranno mai che si> tratti di censura a scopi commerciali se anche è> cosìSe lo dici tu...LemonRe: Voglio scegliere io, grazie!
lo eviterei volentierise solo molte delle persone con cui ho bisogno di comunicare passassero a jabberdanieleMMRe: Voglio scegliere io, grazie!
- Scritto da: danieleMM> lo eviterei volentieri> se solo molte delle persone con cui ho bisogno di> comunicare passassero a> jabberMa molte delle persone che conosci probabilmente usano skype...LemonRe: Voglio scegliere io, grazie!
si concordo...quest uomo è stipendiato dalla Microsozomge vero
http://www.tgaserver.netmariomontigrazie Microsoft...
"se qualche URL "non passa" nelle conversazioni è perché si trova in una block list dell'azienda per un motivo o per l'altro"adesso è tutto a posto! :)MeXM$ e il mese della sicurezza...
Un po' come dare il nobel per la pace a Bin Laden...Spirdaye l'aggiornamento obbligatorio?
Nessuno parla anche del fatto che Messenger, da un pò di tempo, se non lo aggiorni e alla richiesta di farlo rispondi NO, non si collega?Non soi come la vedete voi ma io Messenger non lo utilizzo più, mi ha rotto le scatole che mi si impedisca di fare come vorrei.Perché lo devo aggiornare assolutamente? Perché impedirmi il collegamento? Come si permettono? Chi mi dice che l'aggiornamento, invece di contenere patch di sicurezza, contiene nuovi strumenti di controllo?yenaplyskynRe: e l'aggiornamento obbligatorio?
> Perché lo devo aggiornare assolutamente? Perché> impedirmi il collegamento? Come si permettono?> Chi mi dice che l'aggiornamento, invece di> contenere patch di sicurezza, contiene nuovi> strumenti di> controllo?E chi mi dice che tu non lo vuoi aggiornare perchè vuoi usare qualche bug del client vecchio per rubare dati privati agli utenti?Mamma che discorsi...LemonRe: e l'aggiornamento obbligatorio?
- Scritto da: Lemon> E chi mi dice che tu non lo vuoi aggiornare> perchè vuoi usare qualche bug del client vecchio> per rubare dati privati agli> utenti?Da quandio un bug di un TUO software può rubare i MIEI dati?gerryRe: e l'aggiornamento obbligatorio?
- Scritto da: gerry> - Scritto da: Lemon> > > E chi mi dice che tu non lo vuoi aggiornare> > perchè vuoi usare qualche bug del client vecchio> > per rubare dati privati agli> > utenti?> > Da quandio un bug di un TUO software può rubare i> MIEI> dati?Ma non saprei. Domanda difficilissima questa. Ci voleva un pionere dell'informatica per farmi capire che SOLO chi ha scritto il software può rubare i dati sfruttando un bug.Lo devo dire ai vari cracker in giro per il mondo.LemonRe: e l'aggiornamento obbligatorio?
- Scritto da: yenaplyskyn> Non soi come la vedete voi ma io Messenger non lo> utilizzo piùMiranda IMgerryRe: e l'aggiornamento obbligatorio?
Io per un periodo ho provato Pidgin ma crashava troppo spesso :( Proverò MirandaEhiRe: e l'aggiornamento obbligatorio?
- Scritto da: Ehi> Io per un periodo ho provato Pidgin ma crashava> troppo spesso :( Proverò> Mirandama aMsn o jabber no?anonimo01sono io fuori di testa..... o loro?
se vi e' un "problema di sicurezza" si PATCHA tra l'altro eventuali "siti che frodano gli utenti" di sicuro vanno a superare sto blocco urlinsomma Pinocchio avrebbe avuto scuse piu convincentimemedesimoRe: sono io fuori di testa..... o loro?
- Scritto da: memedesimo> se vi e' un "problema di sicurezza" si PATCHA > tra l'altro eventuali "siti che frodano gli> utenti" di sicuro vanno a superare sto blocco> url> > insomma Pinocchio avrebbe avuto scuse piu> convincentiHai capito tutto.LemonRe: sono io fuori di testa..... o loro?
Infatti... basterebbe intercettare sul server di MSN i login provenienti dal sito di ebuddy e impedire loro di eseguire il login.Più semplice di così?Stupido protocollo chiuso... -.-Tizio Caiosarà
Il problema è che a me blocca anche il link a amsn...GuidoRe: sarà
Infatti la protezione è lato server, non lato client.Faccio un esempio: non è aMSN che filtra il messaggio, ma il server. Quindi aMSN non può farci nulla.Invece la protezione contro l'invio di numerosi trilli è lato client: se provi a inviare trilli a raffica con Winzoz Live Messenger non puoi, ma con aMSN sì proprio perché è il programma che impone la limitazione, non il server.:)Tizio CaioRe: Questa cosa è grave.
> > PS: Non me ne voglia nessuno, ma L'utente "Lemon"> sembra uno stipendiato da microsoft da come la> difende> OoE invece no, mi dispiace. Le mie recenti installazioni hanno visto protagonista Ubuntu server 6.06 LTS, OCS NG Inventory, GLPI, Halyfax, FreeNAS ed altri software open.Inoltre sono certificato MS ed EUCIP. Strano vero? Una persona che usa più tecnologie??? Mai sentito?? Io contesto la mancanza di verità. Non parlo contro MS ma neppure a favore. Vorrei solo sapere da qualcuno cosa gli viene bloccato e se ne conosce il motivo. Per adesso ho solo sentito di ebuddy.com per la quale MS ha dato delle spiegazioni ragionevoli mi sembra (ragionevoli vuol dire che hanno un senso, aspetto altre info per farmi una idea più precisa)Mentre io appaio uno stipendiato MS (e non ci sarebbe nulla di male) qualcun altro invece appare come uno sparasentenze, un complottista, un perseguitato... ed il bello è che tutti quelli che ne hanno scritto male LO USANO!!!Io, lo ripeto, uso principalmente skype per le seguenti motivazioni:- ho il salvataggio automatico della conversazione- ho l'orario dei messaggi- i messaggi inviati ad un utente off-line arrivano veramente- se devo fare una chiamata vocale trovo che sia di qualità superiore al messenger così per la telecamera.Di spype però non mi piace il tipo di traffico che genera e che l'autenticazione proxy non funziona (almeno fino ad tre mesi fa)Adesso mi dirai che sono pagato da skype?Lemontinyurl
Sono curioso di sapere come si comporta se si manda un'url come questa:http://tinyurl.com/lwrorche punta ad ebuddy.comNon uso msn messenger, quindi non posso verificare. Potete farlo voi?Se non lo filtra, il sistema fa schifo! Infatti con un semplice redirect sarebbe aggirabile.Se lo filtra bloccando l'intero dominio di tinyurl fa altrattanto schifo, perché priverebbe gli utenti di un servizio utile e perché servizi di redirecting ce ne sono a bizzeffe, non potranno mica bloccarli tutti.Provate e postate!eventualmen teRe: tinyurl
No, ho provato e non filtra un fico secco :DTizio CaioRe: tinyurl
Ecco come la microsoft affronta i "problemi di sicurezza". Con metodi semplicemente aggirabili che non mancano però di svantaggiare, o quantomeno infastidire, l'utente medio, trattato alla stregua di un imbecille. Vai così MS!eventualmen teGrazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoGrazie per esserti iscritto alla nostra newsletterOops, la registrazione alla newsletter non è andata a buon fine. Riprova.Leggi gli altri commentiTi potrebbe interessare