Firefox sistema le falle zero-day

A pochi giorni di distanza dalla pubblicazione dell'exploit, la recente vulnerabilità di Firefox 3 è stata corretta con il rilascio di un'update. L'aggiornamento tappa pure il buco del Pwn2Own

Roma – Venerdì scorso Mozilla ha rilasciato una versione aggiornata di Firefox, la 3.0.8, che corregge due vulnerabilità di sicurezza già note: la prima è quella divulgata meno di una settimana fa dal ricercatore Guido Landi, la seconda è quella recentemente utilizzata da un hacker per vincere il contest Pwn2Own .

Entrambe le falle sono state classificate da Mozilla con il più elevato grado di rischio: come già dimostrato, queste debolezze possono essere utilizzate da un cracker per eseguire del codice a sua scelta con gli stessi privilegi dell’utente locale.

Della vulnerabilità scoperta da Landi esiste già un exploit pubblico, di conseguenza Mozilla raccomanda ai propri utenti di aggiornare Firefox 3 non appena possibile: ciò può essere fatto attraverso il sistema automatico o scaricando manualmente la nuova versione del browser dal sito Mozilla Italia .

Il rilascio della prossima minor release di Firefox, la 3.0.9, è stato pianificato per il 21 aprile.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Funz scrive:
    Non sarebbero stati i cinesi?
    "solo perché nello schema sono coinvolti computer cinesi, non è detto che ci siano proprio le autorità cinesi dietro l'operazione". Certo, certo, si affannano tanto a fare distinguo, a minimizzare, che sennò la tigre asiatica si sveglia e non sostiene più il debito pubblico USA...
  • anonymous scrive:
    e pensare
    che per altri capi spirituali in esilio per motivi territoriali altre nazioni infettano i cellulari in maniera tale che esplodano togliendoli di mezzo e rivendicano la cosa, ma questo non preoccupa nessuno
    • Sandro scrive:
      Re: e pensare
      Questa è bellasolo infettando il cellulare lo si riesce a far esplodere?uccidendo addirittura l'utente?e come di grazia?qualche link in più?
      • Al3x scrive:
        Re: e pensare

        e come di grazia?
        qualche link in più?occhio, anche i link possono esplodere :D
        • Domokun scrive:
          Re: e pensare
          - Scritto da: Al3x

          e come di grazia?

          qualche link in più?
          occhio, anche i link possono esplodere :DFossi in te starei attento a postare...ahauhauahuah
  • AdessoBasta scrive:
    Cina o non Cina...
    Chi se ne frega, se il controllo dei pc ha le stesse caratteristiche delle infezioni virali o trojan, che si mettessero a lavoro subito per rendere disponibile a tutti la "cura" a questa minaccia. Oppure perché in massima parte si tratta di clienti "eccellenti" conviene loro attendere un ingaggio ufficiale per chiedere un bel compenso? Come sarà di certo accaduto agli scopritori canadesi?
    • pabloski scrive:
      Re: Cina o non Cina...
      la cura? dichiarare fuorilegge Windows :D
      • Ricky scrive:
        Re: Cina o non Cina...
        Bella trovata, windows fuorilegge, cosi' si risolve tutto.Ma tornatene alla neuro... :)Il problema e' grave, si sta' parlando di una cosa scovata per caso...in piedi da chissa' quanto tempo.Ma la cosa piu' importante e' quello che NON si e' ancora scoperto.non importa quale S.O. usi, pare abbastanza chiaro che alal fine scardinano qualsiasi cosa.Quindi come ne veniamo fuori?Proteggendo il singolo pc? Lo stiamo facendo da tempo ma a quanto pare non serve.Si infilano persino negli switch! e li come li proteggi?E vai di firmware...In questo campo ci si rincorre sempre e chi vuole scova sempre e comunque qualche buco in cui infilarsi.Come possiamo realemnte proteggerci?
        • Beppe scrive:
          Re: Cina o non Cina...
          - Scritto da: Ricky
          Bella trovata, windows fuorilegge, cosi' si
          risolve
          tutto.
          Ma tornatene alla neuro... :)
          Il problema e' grave, si sta' parlando di una
          cosa scovata per caso...in piedi da chissa'
          quanto
          tempo.
          Ma la cosa piu' importante e' quello che NON si
          e' ancora
          scoperto.
          non importa quale S.O. usi, pare abbastanza
          chiaro che alal fine scardinano qualsiasi
          cosa.
          Quindi come ne veniamo fuori?Proteggendo il
          singolo pc? Lo stiamo facendo da tempo ma a
          quanto pare non
          serve.
          Si infilano persino negli switch! e li come li
          proteggi?
          E vai di firmware...
          In questo campo ci si rincorre sempre e chi vuole
          scova sempre e comunque qualche buco in cui
          infilarsi.
          Come possiamo realemnte proteggerci?Tanti anni fa fu chiesto dal pentagono un consiglio all'allora dirigente di IBM come essere certamente sicuri che un computer non fosse violabile dall'esterno, lui dette la soluzione istantanea rispondendo così "l'unico computer inviolabile è quello che non ha device di input e che non sia collegato a nessura rete!!"In pratica se tu non ci puoi accedere nemmeno gli altri possono, o meglio se vuoi essere sicuro usi un pc per i tuoi segreti e un altro collegato con il mondo, altrimenti indipendentemente da qualunque cosa tu addotti come deterrente, sarà sempre "più o meno facile" possibile violarla!!!!
          • Domokun scrive:
            Re: Cina o non Cina...
            Questo è chiaro a tutti ormai, ma è palese che ci sono alcune cose molto più facili da violare di altre...
        • pabloski scrive:
          Re: Cina o non Cina...
          - Scritto da: Ricky
          Bella trovata, windows fuorilegge, cosi' si
          risolve
          tutto.
          Ma tornatene alla neuro... :)he he brucia vero? :D
          Il problema e' grave, si sta' parlando di una
          cosa scovata per caso...in piedi da chissa'
          quanto
          tempo.ma che scovata per caso....sono 5 anni che la NATO manda avanti e indietro questa notizia
          Ma la cosa piu' importante e' quello che NON si
          e' ancora
          scoperto.allora sono dei XXXXXXXX, spendendo miliardi di dollari in sicurezza, auditing, ecc... per non scoprire un tubo? è un pò come la storia dei terroristi dell'11 settembre che passarono al controllo del metal detector all'aeroporto...il detector suonò tre volte ma guarda caso nessuno sentì il bisogno di chiedere spiegazioni a questi tizisarà che forse è tutta una montatura?
          non importa quale S.O. usi, pare abbastanza
          chiaro che alal fine scardinano qualsiasi
          cosa.si certo come succede nei film di fantascienza....simili intrusioni vengono scoperte al massimo nel giro di 48 ore, non parliamo certo del PC dell'utonto ma di sistemi ultraprotetti e monitorati 24 ore su 24
          Quindi come ne veniamo fuori?Proteggendo il
          singolo pc? Lo stiamo facendo da tempo ma a
          quanto pare non
          serve.se parli di PC parli di utonti e quindi di Windows che è il sistema più vulnerabile della terra....e lì c'è poco da fare se non mettere fuorilegge MS e la sua robaccia
          Si infilano persino negli switch! e li come li
          proteggi?al massimo si è riusciti ad usare il brute force per entrare nel pannello di controllo e settare nuovi percorsi di routing o modificare i DNS
          In questo campo ci si rincorre sempre e chi vuole
          scova sempre e comunque qualche buco in cui
          infilarsi.ecco appunto, le intrusioni vengono scovate e a certi livelli nel giro di poche ore....
          Come possiamo realemnte proteggerci?semplicemente continuando a fare quello che facciamo e cioè pagare gente che sta lì 24 ore al giorno per controllare che nessun cinese s'infili nel DDNper i PC di casa basta mettere fuorilegge Windows :D
          • Luff scrive:
            Re: Cina o non Cina...

            per i PC di casa basta mettere fuorilegge Windows
            :DStraquoto
          • pandadisoss ato scrive:
            Re: Cina o non Cina...


            per i PC di casa basta mettere fuorilegge Windows
            :DSei troppo sicuro del tuo linux. Come è stato giustamente detto, non vi è nessun computer sicuro al di fuori di quello inaccessibile e scollegato dalla rete.Ed anche allora tale sicurezza non è assoluta.Tempo fa fui quasi linciato per aver detto che firefox non è la panacea a gli exploit durante la navigazione. Stessa cosa per aver detto che anche i sistemi operativi mac sono soggetti a virus.etc.Un hacker se vuole entrare nel tuo pc di casa può farlo, indipendentemente dal fatto che tu abbia linux macos o windows.In vero, l'esempio in piccolo di firefox chiarisce in molti aspetti la questione. Non è che firefox è più sicuro di iexplorer perchè non è affetto da bachi o exploits ma perchè è meno diffuso quindi meno d'interesse da parte di un hacker che vuole invece accedere col minor sforzo al maggior numero di computer possibile.Non a caso il numero di bachi ed exploits identificati per tale browser sono aumentati di pari passo alla sua sempre maggiore diffusione.La stessa cosa vale per i sistemi operativi, sino a qualche anno fà la quantità di virus per mac era bassissima, perchè? di sicuro non perchè era impossibile farne come dichiarato da alcuni mac accoliti, ma perchè data la scarsa diffusione era poco efficace produrne.Ora anche se in maniera ancora limitata il numero di virus/exploits per linux sta crescendo e guarda caso ciò è iniziato in corrispondenza con la sua sempre maggiore diffusione sia nei server che in particolare nei desktop (grazie anche all'enorme pubblicità fatta ad ubuntu) di tale os.E' indubbio che un sistema operativo come linux, che nasce con users policies molto precise atte alla salvaguardia del sistema non solo da attacchi esterni ma anche da involontarie azioni da parte di utenti poco accorti, sia nettamente più difficile da penetrare. Ma è altrettanto indubbio che non è impossibile.In quest'ottica tra qualche anno quando finalmente linux prenderà piede in maniera seria e massiva anche nel mercato desktop, sarà sicuramente più al sicuro (non al sicuro ma un pò più sicuro, bada bene) un utente BeOS con un browser sconosciuto che uno linux.Il mare di internet è pieno di bestie pericolose, alla fine l'unica vera sicurezza è quella data dalle buone abitudini comportamentali e dalla diffidenza.E, forse, quando possibile, la soluzione meno invasiva per salvaguardare i dati in qualche modo "sensibili" è proprio quello d'avere un secondo computer sempre sconnesso dalla rete con un o.s. solido sul lato della gestione degli accessi fisici al sistema (linux o unix).In questo caso, per avere i tuoi dati, almeno non potranno rimanere comodamente seduti nelle loro poltrone ;)Non prendere questo post come una polemica, ma come un interscambio di idee.
  • Genoveffo il terribile scrive:
    Utonti....
    e religione, un binomio a dir poco imprescindibile.A quando la scoperta che anche i nostri politici di grido sono messi in modo uguale?Bah .... che mondo.
Chiudi i commenti