Webmail, certe riescono col buco

Due bug hunter italiani scovano una vulnerabilità in grado di mettere a rischio milioni di caselle. Problema risolto, ma resta aperta una sfida per il futuro. I dettagli raccontati a Punto Informatico

Roma – Totale: 40 milioni . Tante erano, milione più milione meno, le caselle di posta esposte ad un attacco banale quanto efficace: in grado di duplicare ogni messaggio giunto in ciascuna casella infettata, in modo trasparente e pressoché indolore, ma non per questo meno pericoloso. Tutto a causa di un framework piuttosto comune, affetto da una vulnerabilità che si è rapidamente diffusa tra i provider di mezza Europa: segnalata dai due scopritori italiani all’azienda che lo produce, la falla è stata tappata in poche settimane.

Lo schema di attacco Gli autori della scoperta sono Rosario Valotta e Matteo Carli , bug hunter per passione, già in passato artefici di scoperte simili: questa volta si parla di una doppia falla XSS ( Cross site scripting ) e CSRF ( Cross site request forgery ), che consentiva con un semplice clic di guadagnare l’accesso a tutta la corrispondenza della vittima. Una email appositamente creata spedita all’indirizzo bersaglio e il gioco era fatto: al malcapitato sarebbe bastato semplicemente aprirla, senza neppure dover cliccare alcunché, per ritrovarsi suo malgrado con tutta la sua corrispondenza esposta.

In pratica, nascosto nel codice – che Vallotta e Carli non hanno voluto divulgare – c’è un JavaScript opportunamente formulato per attivare all’insaputa dell’utente l’inoltro automatico della corrispondenza ad un’altra casella. Tutto quello che transita per l’inbox viene immediatamente girato in copia carbone (Cc) ad un altro account, scelto dall’attaccante: un’operazione del tutto trasparente all’utente, e difficile da scoprire visto che tipicamente questa opzione viene visualizzata al più durante le operazioni di prima configurazione dell’account e poi dimenticata.

Più nel dettaglio , nonostante in fase di progettazione dell’applicazione fossero state adottate delle misure cautelative, ad esempio separando il dominio della Webmail da quello in cui vengono eseguiti i codici per l’apertura e la lettura dei messaggi, tramite un secondo XSS scovato su uno dei due domini era possibile recuperare il token della sessione in corso. A questo punto diveniva possibile lanciare script dal server remoto dell’attaccante con gli stessi privilegi di quelli del servizio in uso: modificare le impostazioni di inoltro automatico è questione di una riga di codice o poco più. Volendo, spiega l’advisory, sarebbe possibile anche creare un worm con cui automatizzare la procedura aumentandone esponenzialmente l’effetto nefasto.

Il paradosso, ci racconta Carli, è che la diffusione dello stesso framework tra più provider aveva distribuito il bug tra molte piattaforme : “Software comune – spiega a Punto Informatico – significa che le funzionalità si assomigliano un po’ tutte: ma poiché la società che sviluppa Memova, Critical Path, è essenzialmente un system integrator, spesso il servizio viene personalizzato in base alle richieste. In alcuni casi, per scelte commerciali del cliente le opzioni di inoltro automatico non erano neppure proposte tra le opzioni di configurazione: eppure la vulnerabilità era presente lo stesso, il codice funzionava perfettamente e per l’utente non c’era modo di accorgersi del problema anche per caso”.

Verificata l’effettiva portata del problema, e visto il parco clienti di Critical Path, i due si sono rivolti direttamente all’azienda per segnalare il bug: “Abbiamo contattato l’azienda circa un mese fa, spiegando che avevamo delle informazioni interessanti e che ci premeva condividerle con un responsabile di security – prosegue Carli – Nel giro di due ore ci hanno ricontattato e abbiamo organizzato una conference call in giornata. Gli abbiamo mostrato i possibili vettori di attacco, gli abbiamo dato tutti gli elementi per rendersi conto delle dimensioni del problema”.

La risposta a questo atto di buona volontà è stata incoraggiante: in meno di tre settimane Critical Path ha creato una patch e l’ha distribuita ai suoi clienti, notificando tutto ai due bug hunter. “Volendo guadagnarci avremmo potuto chiedere qualcosa in cambio a Critical Path: ma in questo campo sei sempre sul filo del rasoio, rischi di passare per ricattatore – chiarisce Vallotta – Ci sono anche i marketplace dove vendere queste vulnerabilità zero day: la nostra, fatte opportune valutazioni sul numero di email in gioco, sul mercato nero valeva qualcosa come 100mila dollari. Ma crediamo che la responsibly disclosure sia la cosa più sicura e corretta da fare”.

Quello che conta, secondo Vallotta, è aver attirato l’attenzione su un problema : “Le Webmail si stanno sviluppando in un contesto sempre più ricco di funzioni: chi le programma cerca di spingere su nuove capacità, spingendosi sempre più avanti. Ora c’è l’HTML – conclude – e l’utente è chiaramente contento perché fruisce di una esperienza migliore, basti pensare a quello che sta facendo Google con Gmail: ma da un altro punto di vista questa ricchezza ti espone ad una serie di problematiche di sicurezza, e se si decide di veicolare l’HTML (e quindi qualsiasi codice come il JavaScript) in una Webmail, occorre progettare adeguatamente e di pari passo un filtro capace di bloccare questo tipo di attacchi”.

a cura di Luca Annunziata

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • tim tim scrive:
    ie8 vulnerabile?
    ie8 vulnerabile? io nemmeno riesco a installarlo.... ho xp è da ieri che provo ma mi da sempre installazione non riuscita e non ne capisco il motivo! ma come si fa? quanti problemi per mettere un browser....!
    • pappagallo scrive:
      Re: ie8 vulnerabile?
      ripristina il sistema a uno stato precedentehai qualche prblema col sistema non col browserprima fallo aggiorna tutto l'xp e poi riprovasaluti
      • tim tim scrive:
        Re: ie8 vulnerabile?
        - Scritto da: pappagallo
        ripristina il sistema a uno stato precedente
        hai qualche prblema col sistema non col browser
        prima fallo aggiorna tutto l'xp e poi riprova
        salutise intendi gli aggiornamenti di windows update allora non è quello il problema! li faccio sempre sono aggiornatissimo e non ho piu niente da scaricare e installare. poi ammesso che sia il sitema come dici tu cosa ripristino se non so in quale punto si è incasinato? per quello che so il problema potrebbe risalire a 1 anno fa o piu.... ma comunque non è il sistema altrimenti me ne sarei accorto no?comunque grazie per l'interessamento!!
  • Paolini scrive:
    LAMERFOX
    ... E INTANTO IE8 VOLA.... addio Firebug.
  • 3my78 scrive:
    c'è di meglio
    Insomma Firefox tenta di rimettersi in corsa provvedendo a rimediare gli sbagli. Beh io non la uso più da un pezzo!http://3my78.blogspot.com/
  • gnulinux86 scrive:
    Update disponibile Firefox 3.08
    http://www.mozilla-europe.org/it/firefox/Patch dispnibile tramite update automatico.-----------------------------------------------------------Modificato dall' autore il 27 marzo 2009 23.55-----------------------------------------------------------
    • pentolino scrive:
      Re: Update disponibile Firefox 3.08
      stamattina me lo sono ritrovato negli updati automatici di Ubuntu Hardy. Davvero non male, ma direi che ci siamo abituati ;-)
      • Bastard Inside scrive:
        Re: Update disponibile Firefox 3.08
        - Scritto da: pentolino
        stamattina me lo sono ritrovato negli updati
        automatici di Ubuntu Hardy. Davvero non male, ma
        direi che ci siamo abituati
        ;-)Idem.
        • Nome e cognome scrive:
          Re: Update disponibile Firefox 3.08
          A me l'ultimo aggiornamento di imbutu mi ha causato uno schermo nero al riavvio. E ora?
          • Shiba scrive:
            Re: Update disponibile Firefox 3.08
            - Scritto da: Nome e cognome
            A me l'ultimo aggiornamento di imbutu mi ha
            causato uno schermo nero al riavvio. E
            ora?Muovi il mouse che esce dal risparmio energetico.
          • w la cantina scrive:
            Re: Update disponibile Firefox 3.08
            Strano e l'upgrade fino a ieriIo ho sperimentato una cosa simile solo dopo aver installato i fantastici catalyst 9.3 che, al pari dei 9.1 e 9.2 danno un sacco di problemi col compositor attivo.L'altra ipotesi è che i tuoi repository siano un pò esotici e ti hanno incasinato il pc.
    • Cetriolo scrive:
      Re: Update disponibile Firefox 3.08
      Uhm ho attivi gli update automatici, ma questo l ho dovuto scaricare manualmente, avevo la versione 3.0.7
  • Giorgio Maone scrive:
    NoScript protegge contro l'exploit
    NoScript 1.9.1.4 (la versione stabile corrente) non previene il crash, ma protegge contro il suo sfruttamento a fini malevoli (exploit): infatti questo tipo di vulnerabilità non può essere sfruttata a meno che non si "prepari" la memoria (heap spray), cosa che in un browser va fatta usando JavaScript (o Java o Flash).http://hackademix.net/2009/03/26/lock-down-firefox-for-the-weekend/La versione di sviluppo 1.9.1.5 previene anche il crash, applicando la whitelist anche a XSLT.http://hackademix.net/2009/03/27/firefox-light-speed-update-and-noscript-xslt-protection/P.S.: Firefox 3.0.8 è appena stato rilasciato :)
    • pentolino scrive:
      Re: NoScript protegge contro l'exploit
      Grazie Giorgio per le info e scusa se nel mio precedente post avevo scritto che noScript non proteggeva; semplicemente avevo visto il crash e pensavo si portasse dietro anche tutto il resto.http://punto-informatico.it/b.aspx?i=2587083&m=2587400#p2587400Ancora complimenti per l' ottimo programma, il primo add-on che installo ogni volta che installo firefox :-)Vado a ricorreggere il mio post :-)
  • Mixer scrive:
    A quando la patch per IE8??
    La patch all'orizzonte di cui parla l'articolo, quando verra rilasciata???? Ma sarà solo per IE8 o anche per IE6 e 7?????
    • nome e cognome scrive:
      Re: A quando la patch per IE8??
      - Scritto da: Mixer
      La patch all'orizzonte di cui parla l'articolo,
      quando verra rilasciata???? Ma sarà solo per IE8
      o anche per IE6 e
      7?????Boh?
    • tim tim scrive:
      Re: A quando la patch per IE8??
      si ma come si installa ie8? mi da sempre errore come ci siete riusciti voi?
  • sientimento scrive:
    Firefox è peggio che l'hemmental
    Firefox è peggio che l'hemmental
  • Alvaro Vitali scrive:
    C'è qualcuno che si è beccato l'exploit?
    Ogni volta parte una gigantesca cagnara sulle vulnerabilità di Firefox; mai però che salti fuori qualcuno realmente colpito da questi exploit.Evidentemente, si tratta solamente di fuffa diffusa ad arte con lo scopo di screditare il browser; la realtà è che, come al solito, stiamo parlando di vulnerabilità che esistono veramente, ma hanno una probabilità di verificarsi pari allo 0,0000000000000001%Anziché parlare di XXXXXXcce, direi che per adesso gli utenti (soprattutto gli utenti Windoze) dovrebbero preoccuparsi di un virus come Conflicker che ha già materialmente infettato milioni di PC in tutto il mondo; e per il primo Aprile è previsto un vero e proprio tzunami.Continuate a preoccuparvi di Firefox, mentre da dietro vi sta arrivando la supposta ...
    • lake scrive:
      Re: C'è qualcuno che si è beccato l'exploit?
      - Scritto da: Alvaro Vitali
      Ogni volta parte una gigantesca cagnara sulle
      vulnerabilità di Firefox; mai però che salti
      fuori qualcuno realmente colpito da questi
      exploit.

      Evidentemente, si tratta solamente di fuffa
      diffusa ad arte con lo scopo di screditare il
      browser; la realtà è che, come al solito, stiamo
      parlando di vulnerabilità che esistono veramente,
      ma hanno una probabilità di verificarsi pari allo
      0,0000000000000001%

      Anziché parlare di XXXXXXcce, direi che per
      adesso gli utenti (soprattutto gli utenti
      Windoze) dovrebbero preoccuparsi di un virus come
      Conflicker che ha già materialmente infettato
      milioni di PC in tutto il mondo; e per il primo
      Aprile è previsto un vero e proprio
      tzunami.

      Continuate a preoccuparvi di Firefox, mentre da
      dietro vi sta arrivando la supposta
      ...ma è mika stata già rilasciata la patch per Conflicker?
    • entropics scrive:
      Re: C'è qualcuno che si è beccato l'exploit?
      - Scritto da: Alvaro Vitali
      Anziché parlare di XXXXXXcce, direi che per
      adesso gli utenti (soprattutto gli utenti
      Windoze) dovrebbero preoccuparsi di un virus come
      Conflicker Conflicker non ti fa un baffo se hai tenuto fino ad ora gli aggiornamenti automatici di Windows attivi.
    • battagliacom scrive:
      Re: C'è qualcuno che si è beccato l'exploit?
      moltiplica la percentuale del tuo post, moltiplicala per tutte le vulnerabilità, raddoppia tutto per 2 (ci sono sembra degli 0day in giro) e fai la proporzione in base a tutti gli utente di internet e vedi quanto ci guadagnano i cracker!Altro che screditare il browser, questi lo fanno per soldi!il valore iniziale da cui io partirei è 0,001% o giuù di lì, il tuo valore è troppo basso.
    • pclinux scrive:
      Re: C'è qualcuno che si è beccato l'exploit?
      Sai quante volte ho letto annunci apocalittici come il tuo, peccato che windows sia ancora qui, e abbia più del 90% delle utenze desktop. E in due anni che uso Vista mi devo ancora prendere un virus, mah, che strano, sarò solo un caso fortunato?P.S. se cerchi qualcuno soggetto ad exploit basta andare a vedere assorata.
      • pabloski scrive:
        Re: C'è qualcuno che si è beccato l'exploit?
        sei comunque un'eccezione....ci sono 10 milioni di utenti che stanno lottando con conficker
    • -ToM- scrive:
      Re: C'è qualcuno che si è beccato l'exploit?
      parlando dei virus per win, ho preso solo "virtumonde" tramite un crack zozzo su cui sono caduto come una pera cotta, per il resto non ho neanche ricordo di altri virus che mi hanno danneggiato windows o esposto a rischi.Cest la vie...
  • Winaro Folle scrive:
    Come godo.....
    Firefox un browser da 4 soldi
    • caxxaro folle scrive:
      Re: Come godo.....
      E figurati come godo io al pensiero che per usare IE8, un browser che vale meno di 2 soldi, devi installarti un OS che ne vale ancora meno nonostante costi un botto.Accatate 'o flame.
    • puntina scrive:
      Re: Come godo.....
      Anche se da quattro soldi, il buon FF permette, anche a chi non è smanettone, di rafforzare la sicurezza. Ad esempio io mi trovo molto ben con l'estensione NoScript che, oltre a bloccare un po' di fastidiosa pubblicità, ti consente (se quando e come lo vuoi) di non consentire gli script dei siti.Non è ovviamente una garanzia completa, ma è una garanzia in più. Lo "script malevolo" che sfrutta la falla descritta nella notizia, ritengo che si trovi su un sito ovviamente diverso da quello che vuoi visitare. L'estensione NoScript mi consente ad esempio di navigare sul sito puntoinformatico.it senza autorizzare script provenienti da siti diversi. ad esempio in questo momento mentre scrivo ha bloccato (senza che io facessi niente) il sito imrworldwide.com (non so che sia, ma è "entrato" evidentemente nella pagina). Volendo con un click lo sblocco.Non penso esista qualcosa di analogo per IE...
      • foo scrive:
        Re: Come godo.....
        esistono add ons anche per ie anche se noscript e' un progetto molto vitale, dubito qualcosa di analogo sia in giro.A parte i discorsi di sicurezza, a me piace non avere una scrivania con animazioni che escono da tutte le parti, viva noscript.
    • w la cantina scrive:
      Re: Come godo.....
      talmente da 4 soldi che la fix era già stata rilasciata e distribuita da ieri.Godi godi...
    • sano scrive:
      Re: Come godo.....
      un folle se lo dice da solo povero s.t.r.o.n.z.o.
  • aikoman scrive:
    Questa pagina non funziona con IE8
    questa pagina dà errore di javascript con IE8, devo schiacciare il tasto per il compatibility mode.
  • Marco Ravich scrive:
    Tutti giù per terra !
    Tanto per non dire la solita ".... al tappeto"Vabbé. A domani per la patch.
  • Cognome e Nome scrive:
    InternetExplorer8 quando sarà patchato?
    Qualcuno sa quando la falla di ie8 sfruttata al cansecwest 2009, sarà risolta??
  • Fentalin scrive:
    tutti con i privilegi amministrativi!!!!
    ecco che alla fine se hai pletore di utenti con diritti amministrativi, ti succede un XXXXXXXX
    • entropics scrive:
      Re: tutti con i privilegi amministrativi!!!!
      - Scritto da: Fentalin
      ecco che alla fine se hai pletore di utenti con
      diritti amministrativi, ti succede un
      XXXXXXXXUAC rocks!
  • mak77 scrive:
    Mi vergogno un po' di essere italiano
    Mi dà parecchio da pensare il fatto che un ricercatore italiano pubblichi una falla di sicurezza per un prodotto senza contattare il vendor. E' un comportamento senza senso che mette a rischio milioni di persone, spero seriamente non sia andata come leggo sul web, sarebbe da irresponsabili.
    • Ultrablox scrive:
      Re: Mi vergogno un po' di essere italiano
      - Scritto da: mak77
      Mi dà parecchio da pensare il fatto che un
      ricercatore italiano pubblichi una falla di
      sicurezza per un prodotto senza contattare il
      vendor. E' un comportamento senza senso che mette
      a rischio milioni di persone, spero seriamente
      non sia andata come leggo sul web, sarebbe da
      irresponsabili.verso la quinta elementare uno degli obiettivi è aver imparato a leggere, io credo tu ce la possa fare.ti attendono
    • Antonio Macchi scrive:
      Re: Mi vergogno un po' di essere italiano
      - Scritto da: mak77
      Mi dà parecchio da pensare il fatto che un
      ricercatore italiano pubblichi una falla di
      sicurezza per un prodotto senza contattare il
      vendor. E' un comportamento senza senso che mette
      a rischio milioni di persone, spero seriamente
      non sia andata come leggo sul web, sarebbe da
      irresponsabili.In effetti sapere che esistono miei connazionali come te che scrivono XXXXXXXte di questo calibro mi fa vergognare di essere italiano.Comunque non ti angosciare, se anche inizierai a scrivere cose intelligenti, vi sono altri milioni di motivi per vergognarsi di essere italiani.
      • manisor scrive:
        Re: Mi vergogno un po' di essere italiano
        Ma che dite voi due? mak77 ha ragione a criticare il fatto che sia stato reso pubblico il modo di sfruttare il bug prima che uscisse la patchIn effetti ora quelli di firefox dovranno farsi in quattro per chiudere la falla di corsaSince an exploit has been made public, the release of Firefox 3.0.8 has become a high priority.
        • Emoticon e video scrive:
          Re: Mi vergogno un po' di essere italiano
          - Scritto da: manisor
          Since an exploit has been made public, the
          release of Firefox 3.0.8 has become a high
          priority.Quindi se la sarebbero presa comoda.Ma non erano loro quelli che si narrava facessero le patch in poche ore?
          • gnulinux86 scrive:
            Re: Mi vergogno un po' di essere italiano
            Prendersela comoda vuol dire questo:http://secunia.com/advisories/33954/Comunque il ricercatore Guido Landi, ha fatto un exploit dimostrativo, su una vulnerabilità di cui esiste il fix:https://bugzilla.mozilla.org/show_bug.cgi?id=485217Ciò significa che Mozilla in questo caso deve essere più tempestiva del solito a fornire la patch tramite update, in modo tale da evitare che possibili malware usino la falla come veicolo di diffusione.-----------------------------------------------------------Modificato dall' autore il 27 marzo 2009 17.34-----------------------------------------------------------
    • ping laden scrive:
      Re: Mi vergogno un po' di essere italiano
      e' la prassi.Se mozilla vuole sapere i dettagli lo paghi, per un lavoro che dovrebbero fare loro.Il tizio ha avvertito il mondo, fine.
      • mak77 scrive:
        Re: Mi vergogno un po' di essere italiano
        - Scritto da: ping laden
        e' la prassi.
        Se mozilla vuole sapere i dettagli lo paghi, per
        un lavoro che dovrebbero fare
        loro.

        Il tizio ha avvertito il mondo, fine.certo, la prassi, di chi? La maggior parte dei ricercatori di sicurezza segue proprio la procedura opposta, avvisa il vendor, attende un tempo accettabile, quindi procede con il disclosure dell'exploit. Chiamali motivi etici se vuoi, o semplicemente "professionalità".
    • nome e cognome scrive:
      Re: Mi vergogno un po' di essere italiano
      - Scritto da: mak77
      Mi dà parecchio da pensare il fatto che un
      ricercatore italiano pubblichi una falla di
      sicurezza per un prodotto senza contattare il
      vendor. E' un comportamento senza senso che mette
      a rischio milioni di persone, spero seriamente
      non sia andata come leggo sul web, sarebbe da
      irresponsabili.Benvenuto nel mondo reale. Quello dove le falle hanno un prezzo... e come volevasi dimostrare, per firefox con la diffusione arrivano anche i XXXXX.
      • gnulinux86 scrive:
        Re: Mi vergogno un po' di essere italiano
        La falle Highly Crtical colpiscono pure browser poco diffusi come Opera:http://secunia.com/advisories/product/10615/?task=statistics_2008O come Safari:http://secunia.com/advisories/product/17989/?task=statistics_2008Non è che la diffusione centri molto.Mentre l'unico browser ad essere soggetto a falle Extremely è Internet Explorer.http://secunia.com/advisories/product/12366/?task=statistics_2008
        • nome e cognome scrive:
          Re: Mi vergogno un po' di essere italiano

          Mentre l'unico browser ad essere soggetto a falle
          Extremely è Internet
          Explorer.

          http://secunia.com/advisories/product/12366/?task=E questo dimostra la teoria della diffusione visto che le falle high e extremely sono tecnicamente la stessa cosa. La presenza dell'exploit fa ovviamente salire la gravità e l'exploit viene scritto se c'è interesse a farlo... ovvero per browser diffusi.
          • gnulinux86 scrive:
            Re: Mi vergogno un po' di essere italiano
            A parte che riporti solo ultimo punto del mio commento, me lo spieghi il perchè?Forse perchè è l'unico pezzo che riesci a rigirare?Forse sei d'accordo con tutto quello che ho scritto prima?Però se secondo te le falle Highly Crtical tecnicamente sono la stessa cosa delle Extremely, ti smentisci da solo sul fattore che la diffusione sia determinante, perchè se Opera che non ha nemmeno 1% di diffusione è soggetto ad a falle Highly Crtical ed Internet Explorer che ha quasi il 70% ed è soggetto a falle Extremely, se per te sono la stessa cosa, allora la diffusione non conta molto!?
          • nome e cognome scrive:
            Re: Mi vergogno un po' di essere italiano
            - Scritto da: gnulinux86
            A parte che riporti solo ultimo punto del mio
            commento, me lo spieghi il
            perchè?
            Forse perchè è l'unico pezzo che riesci a
            rigirare?No perché la parte riportata esprime in sintesi il concetto del post che è visibile per intero semplicemente leggendo sopra. Netiquette insegna...
            Forse sei d'accordo con tutto quello che ho
            scritto
            prima?Quello che tu hai scritto prima è: le falle highly critical sono anche per opera e safari, cosa c'era da commentare?
            Però se secondo te le falle Highly Crtical
            tecnicamente sono la stessa cosa delle Extremely,Non sono la stessa cosa PER ME, ti basta leggere la spiegazione sul sito di Secunia per capire che sono la stessa cosa PER LORO. Te la riporto per risparmiarti la fatica...Extremely Critical (5 of 5)Typically used for remotely exploitable vulnerabilities that can lead to system compromise. Successful exploitation does not normally require any interaction and exploits are in the wild.These vulnerabilities can exist in services like FTP, HTTP, and SMTP or in certain client systems like email programs or browsers.Highly Critical (4 of 5)Typically used for remotely exploitable vulnerabilities that can lead to system compromise. Successful exploitation does not normally require any interaction but there are no known exploits available at the time of disclosure.Such vulnerabilities can exist in services like FTP, HTTP, and SMTP or in client systems like email programs or browsers.
            ti smentisci da solo sul fattore che la
            diffusione sia determinante, perchè se Opera che
            non ha nemmeno 1% di diffusione è soggetto ad a
            falle Highly Crtical ed Internet Explorer che ha
            quasi il 70% ed è soggetto a falle Extremely, se
            per te sono la stessa cosa, allora la diffusione
            non conta
            molto!?La differenza tra highly ed extremely critical è la presenza o meno di un exploit: una falla highly diventa critical quando viene scritto l'exploit. Di conseguenza se nessuno scrive l'exploit la falla non diventa critical.Ne segue che se un browser è poco diffuso non c'è interesse a scrivere l'exploit... spero che con la spiegazione estesa il concetto sia chiaro.
          • gnulinux86 scrive:
            Re: Mi vergogno un po' di essere italiano
            Tu avevi scritto:
            Benvenuto nel mondo reale. Quello dove le falle
            hanno un prezzo... e come volevasi dimostrare,
            per firefox con la diffusione arrivano anche i
            XXXXX.Ed io ti ho scritto:La falle Highly Crtical colpiscono pure browser poco diffusi come Opera:http://secunia.com/advisories/product/10615/?task=statistics_2008O come Safari:http://secunia.com/advisories/product/17989/?task=statistics_2008C'era da rispondere che dovresti spiegare, dove sarebbero questi XXXXX( come li chiami tu) che arrivano con la diffusione, dato che Firefox ha una diffusione quasi 5 volte superiore a Safari ed Opera messi insieme, ma sono soggetti a falle di medesima pericolosità!Ps: l'update è arrivato Firefox è aggiornato alla versione 3.08http://www.mozilla-europe.org/it/firefox/-----------------------------------------------------------Modificato dall' autore il 27 marzo 2009 23.49-----------------------------------------------------------
          • nome e cognome scrive:
            Re: Mi vergogno un po' di essere italiano

            http://secunia.com/advisories/product/17989/?task=

            C'era da rispondere che dovresti spiegare, dove
            sarebbero questi XXXXX( come li chiami tu) che
            arrivano con la diffusione, dato che Firefox ha
            una diffusione quasi 5 volte superiore a Safari
            ed Opera messi insieme, ma sono soggetti a falle
            di medesima
            pericolosità!Vedo che anche con la spiegazione estesa proprio non ci arrivi. Highly critical, ovvero bug serio che permette esecuzione di codice da remoto per cui non esiste ancora un exploit.Extremely critical, ovvero bug serio che permette esecuzione di codice da remoto per cui esiste un exploit.Questo significa che i bug seri ci sono per tutti i browser ma gli exploit vengono scritti solo per quelli che hanno una certa convenienza economica.
            Ps: l'update è arrivato Firefox è aggiornato alla
            versione
            3.08
            http://www.mozilla-europe.org/it/firefox/https://bugzilla.mozilla.org/show_bug.cgi?id=460090Lol ... lo sapevano da 5 mesi e se ne sono prima fregati poi "dimenticati" fino a quando qualcuno non ci ha scritto sopra l'exploit ... fantastico.
          • gnulinux86 scrive:
            Re: Mi vergogno un po' di essere italiano
            L'exploit dimostrativo di Landi non è stato fatto a scopo di lucro, tu stesso hai detto che ha sbagliato perchè avrebbe dovuto vendere la vulnerabilità, vedo che continui con la tua polemica sterile, alla fine questi XXXXX di Mozilla di cui parli, li vedi solo tu.Comunque cerca di fare pressione su questa falla, :http://secunia.com/advisories/33954/Sai come, oltre un mese, per una falla, Extremely ancora aperta.-----------------------------------------------------------Modificato dall' autore il 29 marzo 2009 20.33-----------------------------------------------------------
      • gnulinux86 scrive:
        Re: Mi vergogno un po' di essere italiano
        doppio post, elimino.-----------------------------------------------------------Modificato dall' autore il 27 marzo 2009 23.40-----------------------------------------------------------
    • gnulinux86 scrive:
      Re: Mi vergogno un po' di essere italiano
      Il ricercatore Guido Landi, ha fatto un exploit dimostrativo, su una vulnerabilità di cui esiste il fix:https://bugzilla.mozilla.org/show_bug.cgi?id=48521...Ciò significa che Mozilla in questo caso deve essere più tempestiva del solito a fornire la patch tramite update, in modo tale da evitare che possibili malware usino la falla come veicolo di diffusione.Non vedo nulla di sbagliato nel operato di Guido Landi.
      • nome e cognome scrive:
        Re: Mi vergogno un po' di essere italiano
        - Scritto da: gnulinux86
        Il ricercatore Guido Landi, ha fatto un exploit
        dimostrativo, su una vulnerabilità di cui esiste
        il
        fix:No ha fatto un exploit di una vulnerabilità di cui non esisteva il fix tant'è vero che uno sviluppatore di mozilla nei commenti pubblici si chiede perchè non gli sia stato comunicato (da Landi).
        https://bugzilla.mozilla.org/show_bug.cgi?id=48521E questo cosa c'entra?
        Ciò significa che Mozilla in questo caso deve
        essere più tempestiva del solito a fornire la
        patch tramite update, in modo tale da evitare che
        possibili malware usino la falla come veicolo di
        diffusione.Questa è la vita vera, le patch si testano...
        Non vedo nulla di sbagliato nel operato di Guido
        Landi.Io si, avrebbe dovuto vendere la vulnerabilità...
        • gnulinux86 scrive:
          Re: Mi vergogno un po' di essere italiano
          Landi non ha informato Mozilla dell exploit, ma il fix cera già, ovvio che le patch debbano essere testate prima del rilascio, altrimenti perchè Mozilla non ha ancora fornito update.
          • nome e cognome scrive:
            Re: Mi vergogno un po' di essere italiano
            - Scritto da: gnulinux86
            Landi non ha informato Mozilla dell exploit, ma
            il fix cera già, ovvio che le patch debbano
            essere testate prima del rilascio, altrimenti
            perchè Mozilla non ha ancora fornito
            update.Nel tracking del bug c'è scritto proprio il contrario... hanno trovato il bug su bugtraq e si chiedevano da dove potesse arrivare l'originale, poi hanno fixato. Mozilla non ha ancora rilasciato update perché non possono più permettersi di fare i cowboy...
          • gnulinux86 scrive:
            Re: Mi vergogno un po' di essere italiano
            Seguendo il criterio di classificazione secondo Secunia( al quale pari essere affezionato), se le falle Highly Crtical non hanno exploit noti disponibili al momento della divulgazione mentre le Extremely si, come faceva l'exploit di Landi ad essere stato pubblicato prima del fix??http://secunia.com/advisories/34145Comunque fanno ancora i cowboys, Fireox è stato aggiornato alla versione 3.08http://www.mozilla-europe.org/it/firefox/Patch disponibile tramite update automatico.-----------------------------------------------------------Modificato dall' autore il 27 marzo 2009 23.56-----------------------------------------------------------
          • w la cantina scrive:
            Re: Mi vergogno un po' di essere italiano
            Alla fine, cowboy o meno, oltre al fatto che come giustamente fate notare le fix devono anche essere testate, si deve valutare la tempestività.E su questo credo si possa dire poco altro.
          • nome e cognome scrive:
            Re: Mi vergogno un po' di essere italiano
            - Scritto da: w la cantina
            Alla fine, cowboy o meno, oltre al fatto che come
            giustamente fate notare le fix devono anche
            essere testate, si deve valutare la
            tempestività.
            E su questo credo si possa dire poco altro.Gia.... https://bugzilla.mozilla.org/show_bug.cgi?id=460090Si può dire veramente poco altro...
          • gnulinux86 scrive:
            Re: Mi vergogno un po' di essere italiano
            http://secunia.com/advisories/33954/Falla ancora aperta da oltre un mese, gravità Extremely(quindi expolit a gogo).C'è poco da dire.
  • Mixer scrive:
    IE-8
    Bestiale.La falla usata per bucare IE8 su Windows Vista, butta giù senza mezzi termini Internet Explorer 6 e 7 testato su Windows XP.
  • Puffo Trolloso scrive:
    x la redazione
    scusate ma perchè il mio messaggio è stato cancellato quando ho solo fatto dell'ironia ma segnalando un fatto vero e invece il messaggio "Ma ... LamerZulla?" che non c'entra niente rimane? due pesi e due misure bah.....
    • attonito scrive:
      Re: x la redazione
      - Scritto da: Puffo Trolloso
      scusate ma perchè il mio messaggio è stato
      cancellato quando ho solo fatto dell'ironia ma
      segnalando un fatto vero e invece il messaggio
      "Ma ... LamerZulla?" che non c'entra niente
      rimane? due pesi e due misure bah.....quoto.
  • Tuxer scrive:
    Firefox-3.5
    Bestiale.L'Exploit di Landi butta giù senza mezzi termini anche la `3.5b4pre`. Provato ora su Linux.
  • Puffo Trolloso scrive:
    Viva ie8!!!!
    Ho provato giusto poco fa, appena letto l'articolo e ie8 non mi si installa arrivato alla schermata di setup mi da l'ok su Download, Controllo Malware e mi da errore sulla terza voce... l'instalalzione credo. Questo per ben due volte, poi sono andato sul collegamento creato nel desktop "Risoluzione dei problemi di Internet Explorer" per vedere cosa c'è che non va e leggo che devo scaricare un fix.... il motivo?Risoluzione generale dei problemiMetodo A: ripristino dei valori predefiniti delle impostazioni di protezione di Windows Ripristinare i valori predefiniti delle impostazioni di protezione. Persino windows stesso pensa che ie8 sia un pericolo per il sistema, dunque non lo fa installare se non con un fix che gli da l'ok cambiando le impostazioni di sicurezza! hahahahaha che sfigati....
  • pentolino scrive:
    Acci! Anzi no, c'è NoScript!
    Provata su linux, firefox schianta secco! Vediamo quanto tempo ci vorrà per fixarla...EDIT: scusate, ho sbagliato, noScript non protegge in realtà...RIEDIT: come fatto notare sopra dall' autore del programma, noScript non protegge dal crash, tuttavia evita che possa essere sfruttato a fini malevoli tramite l' heap spray:http://punto-informatico.it/b.aspx?i=2587083&m=2588250#p2588250-----------------------------------------------------------Modificato dall' autore il 28 marzo 2009 10.12-----------------------------------------------------------
    • advange scrive:
      Re: Acci! Anzi no, c'è NoScript!

      Provata su linux, firefox schianta secco! Vediamo
      quanto tempo ci vorrà per
      fixarla...Guarda, a fixarla ci hanno già pensato. Bisogna aspettare qualche giorno di test e poi rilasceranno (pare al massimo per la prima settimana di aprile).Piuttosto: hai notato qual è stata la soluzione? Praticamente hanno spostato la chiamata di una funzione :-)
      • pentolino scrive:
        Re: Acci! Anzi no, c'è NoScript!
        - Scritto da: advange
        Guarda, a fixarla ci hanno già pensato. Bisogna
        aspettare qualche giorno di test e poi
        rilasceranno (pare al massimo per la prima
        settimana di
        aprile).sì intendevo proprio il rilascio, mi sono espresso in maniera imprecisa
        Piuttosto: hai notato qual è stata la soluzione?
        Praticamente hanno spostato la chiamata di una
        funzione
        :-)sì infatti, curiosa come patch... side effects a pacchi o che?
    • entropics scrive:
      Re: Acci! Anzi no, c'è NoScript!
      noscript non serve ad una mazza, se non a darti grattacapi dalla mattina alla sera e ha farti catapultare negli anni '90 nel fantastico mondo del plain static web
      • pentolino scrive:
        Re: Acci! Anzi no, c'è NoScript!
        che ti devo dire, stai senza... poi non venire a lamentarti se ti becchi qualche sfiga.Io con noScript navigo sereno ovunque e vedo tante belle pagine e animazioni, anche su linux!
  • genna scrive:
    ci sono 2 falle aperte in firefox
    per la redazione: guardate che anche Firefox è stato bucato al cansecwest 2009, quindi esistono 2 falle in firefox, una scoperta al cansecwest e questa'altra di landi.
    • gnulinux86 scrive:
      Re: ci sono 2 falle aperte in firefox
      Saresti in grado di mostrarmela su Bugzilla o su Secunia?Ti sei informato bene di tutti i metodi usati per bucare i vari browser al Cansecwest 2009?
      • sientimento scrive:
        Re: ci sono 2 falle aperte in firefox
        - Scritto da: gnulinux86
        Saresti in grado di mostrarmela su Bugzilla o su
        Secunia?su bugzilla non puoi accedere ai bug critici fino a che non sono fixati.Su secunia non troverai mai bug gravi di Firefox non fixati per il semplice motivo che Secunia li pubblica solo dopo che mozilla rilascia una nuova versione
        • gnulinux86 scrive:
          Re: ci sono 2 falle aperte in firefox
          Non è che non puoi accedervi, altrimenti come si fa segnalare!?Qui entra in gioco la rapidità di Mozilla nel trovare il fix:https://bugzilla.mozilla.org/show_bug.cgi?id=485217Non mi risulta che Secunia pubblichi solo le falle fixate:http://secunia.com/advisories/33954http://secunia.com/advisories/34470/
        • advange scrive:
          Re: ci sono 2 falle aperte in firefox

          Su secunia non troverai mai bug gravi di Firefox
          non fixati per il semplice motivo che Secunia li
          pubblica solo dopo che mozilla rilascia una nuova versioneE, infatti questa su Secunia c'è.PLONK
    • Pino scrive:
      Re: ci sono 2 falle aperte in firefox
      - Scritto da: genna
      per la redazione: guardate che anche Firefox è
      stato bucato al cansecwest 2009, quindi esistono
      2 falle in firefox, una scoperta al cansecwest e
      questa'altra di
      landi.Eccola qui, crash istantaneo:http://carl-hardwick.googlegroups.com/web/Firefox305RemoteDoS.htm?gda=L-Hfg0kAAACkS-ZCh60y1HGkG90OfxntoAqwZ3C8ruyropiO-H421kJrrhmHCQufFZuFBPw58ONwjIbH0C7mEWhMCbjxfUhhhAioEG5q2hncZWbpWmJ7IQ
      • Pino scrive:
        Re: ci sono 2 falle aperte in firefox
        - Scritto da: Pino
        - Scritto da: genna

        per la redazione: guardate che anche Firefox è

        stato bucato al cansecwest 2009, quindi esistono

        2 falle in firefox, una scoperta al cansecwest e

        questa'altra di

        landi.

        Eccola qui, crash istantaneo:

        http://carl-hardwick.googlegroups.com/web/Firefox3Ma ce n'è anche per IE:http://www.comunecampagnano.it/htm/iexplore7_crash.html
    • gnulinux86 scrive:
      Re: ci sono 2 falle aperte in firefox
      Comunque con l'update a Firefox 3.08, sono state corrette entrambe le falle:http://www.tweakness.net/news/5022
  • Alvaro Vitali scrive:
    Ma ... LamerZulla?
    Un tempo queste vulnerabilità le scopriva il mitico LamerZulla (copiando dai siti specializzati); adesso però il nostro eroe si è rammollito e se ne sta tutto il giorno a grattarsi!
    • w la cantina scrive:
      Re: Ma ... LamerZulla?
      Grandissimo Aranzulla.Quando voglio recuperare il buonumore visito il suo blog o faccio una googlata a caso.Oggi insegna a prendere appunti :DRitornando in tema con l'argomento non mi è chiaro se, a partire dalla falla, si possano sfruttare anche eventuali vulnerabilità del sistema operativo.Il dubbio nasce dal fatto che prima si dice che l'eventuale aggressore può eseguire codice maligno con gli stessi diritti dell'utente che sta usando il browser ("Firefox va in crash e l'aggressore può eseguire del codice a propria scelta con gli stessi privilegi dell'utente del browser"). E fin qui mi pare tutto lecito.Poi però si precisa che la dannosità del bug è comunque dipendente dalla robustezza del sistema operativo ("il livello di pericolosità dipende dalla sicurezza intrinseca di ciascun sistema operativo") come se a parità di diritti su sistemi differenti, fosse possibile andare oltre i normali privilegi dell'utente.In questo caso sarebbe interessante conoscere i dettagli.
      • vvvv scrive:
        Re: Ma ... LamerZulla?
        Forse vuol dire che se è possibile una scalata di privilegi su un dato S.O. la si può fare a partire dalla vulnerabilità di Firefox.
  • hey scrive:
    macchina virtuale
    se si vuole aggiungere un certo grado di sicurezza e anonimità alla navigazione web... basta eseguire il browser in una macchina virtuale.Scommetto che ce ne sono di già pronte da scaricare e seguire con VMware Player, e quando vuoi azzerare il tutto... basta rimpiazzare il disco virtuale con quello originario.
    • entropics scrive:
      Re: macchina virtuale
      - Scritto da: hey
      se si vuole aggiungere un certo grado di
      sicurezza e anonimità alla navigazione web...
      basta eseguire il browser in una macchina
      virtuale.fai prima a staccare la spina e amen
  • flock scrive:
    Problema risolto
    Falla pubblicata e risolta in meno di 24 orehttps://bugzilla.mozilla.org/show_bug.cgi?id=485217http://secunia.com/advisories/34145/
    • genna scrive:
      Re: Problema risolto
      - Scritto da: flock
      Falla pubblicata e risolta in meno di 24 ore

      https://bugzilla.mozilla.org/show_bug.cgi?id=48521

      http://secunia.com/advisories/34145/il problema non è affatto risolto, fino a che l'utente non riceve gli aggiornamenti. Anche perchè se dobbiamo seguire il tuo ragionamento anche Microsoft corregge le falle in meno di 24 ore nei suo uffici, ma fino a che gli utenti non ricevono la patch non è affatto da considerarsi risolta.
      • jfk scrive:
        Re: Problema risolto
        - Scritto da: genna
        - Scritto da: flock

        Falla pubblicata e risolta in meno di 24 ore




        https://bugzilla.mozilla.org/show_bug.cgi?id=48521



        http://secunia.com/advisories/34145/

        il problema non è affatto risolto, fino a che
        l'utente non riceve gli aggiornamenti. Anche
        perchè se dobbiamo seguire il tuo ragionamento
        anche Microsoft corregge le falle in meno di 24
        ore nei suo uffici, ma fino a che gli utenti non
        ricevono la patch non è affatto da considerarsi
        risolta.Sbaglia lui riguardo a ff. Sbagli tu riguardo a Microsoft.Li' non se li filano proprio i bug. Se vai a vedere i bug report, ci sono bug aperti da piu' di 6 (SEI) mesi.Microsoft ha semplicemente deciso di seguire l'open source per quanto riguarda la politica dei beta tester. Ovvero se qualche fesso gli segnala il bug ben venga (e non e' detto che lo consideri) altrimenti buona notte... Quindi disinvestono sul reparto beta tester (che per inciso non esiste proprio piu' in Microsoft).
      • gnulinux86 scrive:
        Re: Problema risolto
        Prima di postare dovresti leggere con attenzione, dai link che ti hann fornito, ti spiegano anche in cosa consiste la patch in questione.Bisogna solo attendere il rilascio della patch tramite update.Comunque Microsoft non ha mai ragionato come dici, i tempi per risolvere una falla con loro diventano sempre biblici, esempio pratico, in data 24 Febbraio è stata resa pubblica una falla con il più alto rischio di pericolosità EXTREMELY che riguarda tutte le versione in life cycle di Ms Office Excel:http://secunia.com/advisories/33954/Oltre un mese dalla pubblicazione della falla nemmeno l'ombra di una patch, strano per una falla classifica come EXTREMELY.-----------------------------------------------------------Modificato dall' autore il 27 marzo 2009 10.52-----------------------------------------------------------
        • sientimento scrive:
          Re: Problema risolto
          - Scritto da: gnulinux86
          Bisogna solo attendere il rilascio della patch
          tramite
          update.ed è esattamente quello che fa Microsoft, la falla viene tappata anche in 24 ore, ma prima che gli utenti ne possono beneficiare occorre attendere il rilascio della patch, ne più e ne meno come Firefox
          • gnulinux86 scrive:
            Re: Problema risolto
            Mi linki dove hai preso la notizia che Ms sia riuscita a patchare una falla in 24 ore??
      • Ultrablox scrive:
        Re: Problema risolto
        - Scritto da: genna
        - Scritto da: flock

        Falla pubblicata e risolta in meno di 24 ore




        https://bugzilla.mozilla.org/show_bug.cgi?id=48521



        http://secunia.com/advisories/34145/

        il problema non è affatto risolto, fino a che
        l'utente non riceve gli aggiornamenti. Anche
        perchè se dobbiamo seguire il tuo ragionamento
        anche Microsoft corregge le falle in meno di 24
        ore nei suo uffici, ma fino a che gli utenti non
        ricevono la patch non è affatto da considerarsi
        risolta.completamente d'accordo.so' tre ore che premo cerca aggiornamentinon succede un razzo, quindi ... non succede neanche a tutti gli altri.
      • pabloski scrive:
        Re: Problema risolto
        magari fosse così...la jvm di ms è buggata dal 2001 e ancora oggi quel medesimo bug è sfruttabilealtro che 24 ore, impiegano secoli
        • e.l.f. scrive:
          Re: Problema risolto
          - Scritto da: pabloski
          la jvm di ms è buggata dal 2001 e ancora oggi
          quel medesimo bug è
          sfruttabileLa JVM di MS non e' piu' installata su Windows dai tempi del SP1a di XP, ossia dal settembre 2002: se la installi tu al posto della JVM di Sun, ti assumi i rischi e i bug di un software obsoleto. Lo stesso discorso vale per qualsisi software non piu' supportato.e.l.f.
          • pabloski scrive:
            Re: Problema risolto
            e meno male che non è più installato di default, forse perchè hanno capito che:primo è inutile reinventare di continuo la ruotasecondo la jvm di ms era la degna figlia della filosofia alla base di ie, cioè un software bloated, instabile, pieno di bug e impossibile da manutenereciò non toglie però che fino al 2007 ( uscita di Vista ) è stata usata praticamente su qualsiasi macchina XP e scommetto che moltissima gente la usa ancora su XPqualche piccolo upgrade potevano pure farlo no!?!
          • logicaMente scrive:
            Re: Problema risolto
            - Scritto da: pabloski
            e meno male che non è più installato di default,Non solo non è più installata di default: non è più nemmeno scaricabile (dal 2003!) dal sito MS dove - previa causa legale - ti "consigliano" di installare quella di SUNhttp://www.microsoft.com/mscorp/java/default.mspx
            ciò non toglie però che fino al 2007 ( uscita di
            Vista ) è stata usata praticamente su qualsiasi
            macchina XP e scommetto che moltissima gente la
            usa ancora su
            XPAssolutamente no. Chi l'ha installata, magari perchè obbligato (i software dell'Agenzia delle Entrate funzionavano solo con quella) ha dovuto farlo "di straforo" scaricandola da siti decisamente non ufficiali.Da XP SP1a la MSJVM non c'è più.
            qualche piccolo upgrade potevano pure farlo no!?!Anche volendo non avrebbero potuto: accordi con SUN.
        • sientimento scrive:
          Re: Problema risolto
          - Scritto da: pabloski
          la jvm di ms è buggata dal 2001lo sai vero che un software ha un ciclo di vita? jvm di ms non è più supportato, così come Firefox 1.0 non è più supportato, se tu lo installi ti becchi tutte le falle di Firefox 1.0
          • pabloski scrive:
            Re: Problema risolto
            si certo ma dal 2001 al 2002 potevano correggerlo quel bugpoi non è che all'improvviso il ciclo di vita di un software s'interrompepure lo sviluppo di xp è terminato nel 2007, ma i service pack e i bug fix ci sono ancoraè il minimo pretendere almeno 3-4 anni di supporto
    • enrico scrive:
      Re: Problema risolto
      - Scritto da: flock
      Falla pubblicata e risolta in meno di 24 orenon è vero, perchè non mi risulta che FF 3.08 finale sia stato rilasciato al pubblico.
    • pentolino scrive:
      Re: Problema risolto
      sbagliato; quando uscirà la 3.0.8 e sarà distribuita agli utenti si potrà dire "risolto"-----------------------------------------------------------Modificato dall' autore il 27 marzo 2009 08.47-----------------------------------------------------------
    • petrestov scrive:
      Re: Problema risolto
      - Scritto da: flock
      Falla pubblicata e risolta in meno di 24 ore

      https://bugzilla.mozilla.org/show_bug.cgi?id=48521

      http://secunia.com/advisories/34145/fate ridere anche i polli con queste dichiarazioni euforiche. concordo con Fuffa: l'unica cosa che salva FF dall'essere considerato pericoloso è l'assenza di malware che nel frattempo potrebbero far danni infangando la reputazione di Mozilla.
    • entropics scrive:
      Re: Problema risolto
      - Scritto da: flock
      Falla pubblicata e risolta in meno di 24 orepeccato che fino a che non compare come aggiornamento, tutti i milioni di utenti che usano Firefox sono in pericolo. La falla è tutt'altro che considerata risolta è ancora aperta!
      • Cobra Reale scrive:
        Re: Problema risolto
        - Scritto da: entropics
        - Scritto da: flock

        Falla pubblicata e risolta in meno di 24 ore

        peccato che fino a che non compare come
        aggiornamento, tutti i milioni di utenti che
        usano Firefox sono in pericolo. La falla è
        tutt'altro che considerata risolta è ancora
        aperta!FF 3.0.8 è già uscito
  • freax scrive:
    @ tutti i troll che verranno dopo
    mi sa che questa falla la risolveranno molto presto, non come altre aziende che le lasciano li in attesa che arrivi la divina provvidenza a fare il lavoro per loro
    • Fuffa scrive:
      Re: @ tutti i troll che verranno dopo
      Per altre aziende intendi apple vero?Tratto dall'articolo "L'hacking non è Hollywood":"tra Mac e PC, io direi che i Mac sono meno sicuri per le ragioni che abbiamo detto (mancanza di tecniche anti-exploit) ma se la cavano meglio perché non c'è semplicemente abbastanza malware in giro. Per ora, io continuerei a raccomandare i Mac per l'utenza-tipo visto che le probabilità che qualcuno li prenda di mira sono basse e passeranno anni prima di vedere del qualsiasi malware, anche se qualcuno intenzionato ad attaccarli riuscirebbe più facilmente nel suo intento".Chissa se anche loro stanno aspettando la divina provvidenza :)
    • flock scrive:
      Re: @ tutti i troll che verranno dopo
      la falla è stata risolta:https://bugzilla.mozilla.org/show_bug.cgi?id=485217http://secunia.com/advisories/34145/
      • genna scrive:
        Re: @ tutti i troll che verranno dopo
        - Scritto da: flock
        la falla è stata risolta:
        https://bugzilla.mozilla.org/show_bug.cgi?id=48521

        http://secunia.com/advisories/34145/a casa mia una falla si dice risolta quando gli utenti sono protetti. Allora se per questo anche Microsoft l'ha già risolta nei loro uffici, ma prima che sia considerata tale va distribuita agli utenti, ne più e ne meno come fa Mozilla.
        • jfk scrive:
          Re: @ tutti i troll che verranno dopo
          - Scritto da: genna
          a casa mia una falla si dice risolta quando gli
          utenti sono protetti. Allora se per questo anche
          Microsoft l'ha già risolta nei loro uffici, ma
          prima che sia considerata tale va distribuita
          agli utenti, ne più e ne meno come fa
          Mozilla.Vedi la stessa risposta che ti ho dato piu' giu'.
        • gnulinux86 scrive:
          Re: @ tutti i troll che verranno dopo
          Prima di postare dovresti leggere con attenzione, dai link che ti hann fornito, ti spiegano anche in cosa consiste la patch in questione.Bisogna solo attendere il rilascio della patch tramite update.Comunque Microsoft non ha mai ragionato come dici, i tempi per risolvere una falla con loro diventano sempre biblici, esempio pratico, in data 24 Febbraio è stata resa pubblica una falla con il più alto rischio di pericolosità EXTREMELY che riguarda tutte le versione in life cycle di Ms Office Excel:http://secunia.com/advisories/33954/Oltre un mese dalla pubblicazione della falla nemmeno l'ombra di una patch, strano per una falla classifica come EXTREMELY.-----------------------------------------------------------Modificato dall' autore il 27 marzo 2009 10.52-----------------------------------------------------------
          • Steve Austin scrive:
            Re: @ tutti i troll che verranno dopo

            Comunque Microsoft non ha mai ragionato come
            dici, i tempi per risolvere una falla con loro
            diventano sempre biblici, esempio pratico, in
            data 24 Febbraio è stata resa pubblica una falla
            con il più alto rischio di pericolosità
            EXTREMELY che riguarda tutte le versione in
            life cycle di Ms Office
            Excel:

            http://secunia.com/advisories/33954/

            Oltre un mese dalla pubblicazione della falla
            nemmeno l'ombra di una patch, strano per una
            falla classifica come
            EXTREMELY.Tralasciando che in questo post si parla di firefox e al limite, più in generale, di browser e quindi non capisco cosa centri office, rimane il fatto: ma ti pagano per sta propaganda continua che fai su P-I?Tra te dovella e finalcut sembrate dei gurrilla-marketers
          • gnulinux86 scrive:
            Re: @ tutti i troll che verranno dopo
            Invece di fare il winaro offeso, potresti leggere il commento al quale ho risposto, l'utente genna parlava di un presunto metodo di gestione della sicurezza secondo Microsoft, ho semplicemente provveduto a farle notare che si sbagliava.-----------------------------------------------------------Modificato dall' autore il 27 marzo 2009 12.38-----------------------------------------------------------
          • sientimento scrive:
            Re: @ tutti i troll che verranno dopo
            - Scritto da: gnulinux86
            Comunque Microsoft non ha mai ragionato come
            dici,seconte te Microsoft prepara la patch all'ultimo minuto? E' chiaro che anche Microsoft fa la stessa cosa che fa Mozilla, in 24 ore o più, a seconda del tempo che ci vuole, nei suoi laboratori fixerà il bug, poi quando deciderà che è il momento giusto per distribuirla, andrà a distribuirla, nè più e ne meno come fa Mozilla.
          • gnulinux86 scrive:
            Re: @ tutti i troll che verranno dopo
            Mai detto nulla di simile, ma rimane il fatto che Ms è decisamente lenta nel risolvere vulnerabilità, anche in caso di rischio massimo come quella di Excel che è una "Extremely".
          • entropics scrive:
            Re: @ tutti i troll che verranno dopo
            - Scritto da: gnulinux86
            Oltre un mese dalla pubblicazione della falla
            nemmeno l'ombra di una patchguarda che se vai a vedere il prossimo bollettino di sicurezza di OpenOffice vedrai che la falla si riferisce al mese prima, stessa tempistica di Microsoft
          • gnulinux86 scrive:
            Re: @ tutti i troll che verranno dopo
            Link??Mi raccomando che la falla sia "Extremely" come quella di Ms Office Excel.
        • pabloski scrive:
          Re: @ tutti i troll che verranno dopo
          con la differenza che MS non impiega 24 ore per risolvere una vulnerabilità....a volte negano perfino che esista, riservandosi di ammetterlo solo quando sono già in giro gli exploitpoi MS rilascia gli aggiornamenti con cadenze mensili e solo raramente rompe questo cicloMozilla invece patcha, ricompila e mette online l'aggiornamento....entro 48 ore sarà possibile installare la versione patchatapoi se l'utente dorme, beh, sono cavoli suoi....
      • enrico scrive:
        Re: @ tutti i troll che verranno dopo
        - Scritto da: flock
        la falla è stata risolta:non è vero, in quanto non esiste alcun aggiornamento distribuito agli utenti, nè è ancora stata rilasciata la 3.08 finale. Per cui non è da considerarsi risolta
    • Asbesto scrive:
      Re: @ tutti i troll che verranno dopo
      Di che altre aziende stai parlando, sparacaccole?Forse di aziende del Burundi? Ma vattelo a pigliare... Questo fatto dimostra soltanto che non esiste il browser perfetto (finalmente!) ma che tutti hanno problemi e vulnerabilità. A proposito: guarda caso adesso che Firefox è testa a testa (o forse sta già superando) IE saltano fuori problemi che fino a ieri non c'erano! Svegliatevi difensori del nulla! E con serenità e giudizio si scopre che nessuno può chiamarsi fuori. Agli utenti "normali" interessa poco se una vulnerabilità viene risolta in poco o tanto tempo, chiedono solo un browser che di solito funzioni e che non abbia grossi problemi (per grossi i "miseri mortali" intendono virus che bloccano la navigazione, che spengono il PC, che cancellano molti dati ecc.). Inutile dire che siccome c'è una falla che se navighi in un certo sito, in certo modo, se hai certi programmi, in una particolare circostanza hai una piccola probabilità di avere qualche problema allora IE fa schifo. Ma siamo seri "smanettoni"!
  • Flashsone scrive:
    Un sogno di lavoro..
    Quando leggo questo genere di cose provo invidia per quelli che hanno la fortuna di farlo come lavoro..
    • Ale scrive:
      Re: Un sogno di lavoro..
      non credere... certo può essere "piacevole" fare un lavoro che piace, ma non è tutto oro quello che luccica. Il lavoro è lavoro, non è fare i cazzari "giocando"... pochi si rendono davvero conto della differenza..
      • Gabriele Niola scrive:
        Re: Un sogno di lavoro..
        E' verissimo che ogni lavoro per quanto possa sembrare ideale poi nella pratica presenta i mille problemi e le tante frustrazioni degli altri lavori. Però è anche vero che fare qualcosa che appassiona non solo migliora la qualità della propria quotidianità ma regala anche momenti di soddisfazione molto alti.In particolare i Gentle Giant non hanno cominciato facendo quello che fanno ora ma ci sono arrivati e se lo sono guadagnato nel senso più radicale del termine. Dimostrando che alla fine se hai idee...
Chiudi i commenti