Info:

twitter

Ultimi commenti: Comment feed

Tags:

Sponsor:

Archivio 2018:

Lug Giu Mag Feb Gen

Archivio 2017:

Dic Nov Ott Mag Apr Mar Feb Gen

Archivio 2016:

Dic Nov Ott Ago Mag Mar Feb Gen

Archivio 2015:

Nov Ott Set Mar Gen

Archivio 2014:

Dic Nov Ott Set Lug Giu Mag Apr Gen

Archivio 2013:

Dic Nov Set Ago Lug Giu Mag Apr Feb Gen

Archivio 2012:

Dic Nov Ott Set Ago Giu Mag Apr Mar Feb Gen

Archivio 2011:

Dic Nov Ott Set Ago Lug Giu Mag Apr Mar Feb Gen

Archivio 2010:

Dic Nov Ott Set Ago Lug Giu Mag Apr Mar Feb Gen

Archivio 2009:

Dic Nov Ott Set Ago Lug Giu Mag Apr Mar Feb Gen

Archivio 2008:

Dic Nov Ott Set Ago Lug Giu Mag Apr Mar Feb Gen

Archivio 2007:

Dic Nov Ott Set Ago Lug Giu Mag Apr Mar Feb Gen

Archivio 2006:

Dic Nov Ott Set Ago Lug Giu Mag Apr Mar Feb Gen

Diavoli pentole e coperchi

Code execution vulnerability found in Firefox 3.0

Se fosse vera la seguente affermazione di Window Snyder sarebbe ancora più ridicola:

In setting out to elevate Firefox's basic security, Snyder is also compelling Microsoft and Apple, maker of the Safari browser, to follow her lead — or get out of the way." (fonte)

Scritto nel caso qualcuno avesse dubbi sul perché non userò Firefox come browser di default su un PC con Vista; perché diciamolo su OS X non c’è molta scelta . Per i più scettici, qualche altro dato interessante.

In ogni caso mi unisco sinceramente al coro di congratulazioni per la nuova versione – decisamente innovativa – e per i 9 milioni e passa di download.

firefoxcake30

Oggi proprio non è giornata, eh?

-quack

Technorati Tags: ,

Potrebbero interessarti anche:
Commenti (35): [ Pagina 1 di 2  - più vecchi ]
6. Blackstorm
giovedì 19 giugno 2008 alle 12:39 PM - unknown unknown unknown
   

@Edward:

Si è tutto molto bello, ma visto che Snyder pensa tanto alla sicurezza, perchè non prende contatti ocn la MS e chiede come far girare FF in low integrity mode? Suppongo che sia possibile farlo per qualsiasi software.

@FDG: anche la prima beta di ff aveva il memory leak...

   
7. Scrooge McDuck
giovedì 19 giugno 2008 alle 12:44 PM - unknown unknown unknown
   

Quindi Snyder invita Microsoft e Apple a rilasciare i sorgenti dei propri browser affinche' il vaglio esterno permetta di elevare la loro sicurezza di base.

Non mi pare proprio, e se così fosse lo avrebbe detto chiaro e tondo.

Il discorso precedente è, visto che siamo opensource e volontari controllano continuamente il codice il nostro browser è considerato dagli esperti come il più sicuro.

L'affermazione è che sono i più sicuri, non che l'opensource è intrinsecamente più sicuro (e sappiamo già che l'ugualianza + volantari = + sicurezza non vale un fico secco), e la frase che ne segue si basa appunto sull'idea che FF è il più sicuro e che gli altri devono solo inseguire.

   
8. suc
giovedì 19 giugno 2008 alle 1:26 PM - unknown unknown unknown
   

Le API per far girare un processo in low integrity sono pubbliche, quindi se vuole, Mozilla e qualunque altro software può implementare la modalità protetta. La stessa Microsoft, ai tempi della beta2 di Vista, aveva invitato gli sviluppatori di Firefox per suggerirgli di realizzare la modalità protetta, ma Mozilla ha rifiutato l'aiuto dicendo che non era nella loro roadmap

   
9. EnricoG
giovedì 19 giugno 2008 alle 1:38 PM - unknown unknown unknown
   

Squadriglie di fanboy all'opera oggi eh?

E diversi campioni nazionali di arrampicata sugli specchi!

   
10. Edward
giovedì 19 giugno 2008 alle 2:39 PM - unknown unknown unknown
   

@ Scrooge: ok, ma gli altri devono inseguire cosa? Firefox in se come browser o il modello di sviluppo/controllo adottato dagli sviluppatori (opensource)? Questa e' l'ambiguita' nell'interpretazione.

@ suc: puoi linkarmi la fonte? Sul sito di Mozilla c'e' scritto che l'implementazione della modalita' protetta presumibilmente avverra' con Firefox 4 [1].

@ EnricoG: se sembro un fanboy, mi scuso perche' non credo di esserlo. Il mio commento e' sull'interpretazione di "follow her lead", non sulla promozione di Firefox come browser di eccellenza o frasi simili: ha bug (per es., FF 3 Beta 3 aveva problemi di rendering con Flicker, risolti nelle beta successive), ha difetti e non condivido alcune scelte di Mozilla Corporation nello sviluppo del suo browser; la battuta finale sui browser per OSX e', appunto, una battuta: sono presenti parecchi browser che esistono su Windows (mancano IE e i derivati che usano il suo motore di rendering, forse anche alcuni a bassa diffusione che non conosco), la scelta finale dipende dalle proprie preferenze e dalle necessita'.

Uso XP, ho installato IE 6, Firefox 3 e Opera 9.5: IE mi serve solo per alcuni siti compatibili al 100% solo con IE (es. banca). Uso quotidianamente Firefox e Opera: del primo apprezzo le estensioni (in particolare NoScript: il blocco degli script in Opera non e' flessibile come NS), del secondo la leggerezza.

elf

[1] wiki.mozilla.org/.../Protected_mode

   
11. FDG
giovedì 19 giugno 2008 alle 4:45 PM - unknown unknown unknown
   

Mi preciso quando detto a proposito di IE8. L'occupazione normalmente è minore di quanto ho detto... ora paragonabile a quella di Firefox

Per il papero, visto che a lui queste cose piacciono tanto:

www.roccosicilia.it/.../blog

Argh!

Più sotto trovi un mio suggerimento su come risolvere temporaneamente il problema. Per comodità riscrivo qui:

Un modo per risolvere temporaneamente il problema è disabilitare la voce “Gestione Remota” dal pannello di controllo “Condivisione” e poi da shell eseguire il comando:

sudo chmod go-x /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent

   
12. FDG
giovedì 19 giugno 2008 alle 5:05 PM - unknown unknown unknown
   

Sulla questione dell'open source e della sicurezza abbiamo dibattuto a lungo. Io concordo sul fatto che open source non vuol dire necessariamente sicuro. Vuol dire semmai che le problematiche di sicurezza possono essere risolte con la collaborazione di altri. Se io ho i sorgenti del codice e me li tengo, nessuno, tranne me stesso, può guardare nel codice a caccia di errori. Questo vuol dire che gli altri si devono fidare del mio lavoro. A volte questo funziona. Altre volte no. Comunque, eventuali problemi problemi nel codice godono della copertura della segretezza dello stesso fino a quando qualcuno non riesce a scoprirne gli spiacevoli effetti negativi. D'altro canto, sei io decido di affidarmi a del codice open, ho la possibilità, se ne ho i mezzi, di valutare l'affidabilità del codice e indirettamente contribuire alla qualità dello stesso. Secondo me una più corretta interpretazione del concetto dei più occhi che guardano il codice è questa. Poi, c'è sempre la possibilità che nessuno guardi questo codice perché a nessuno interessa farlo o che chi lo guarda e fa la correzione è un incapace. Ma questo è un invariante del software. Mi pare però che ci siano maggiori possibilità di far scoppiare il caso quando altri possono vedere chi cavolo combina cosa.

   
13. EnricoG
giovedì 19 giugno 2008 alle 5:17 PM - unknown unknown unknown
   

@FDG

la tua disquisizione e' molto discutibile, la ricerca dei bachi avviene in diversi modi, uno ad esempio e' quello del testing di tipo black-boxing nel quale il tester non guarda i dettagli implementativi, anche perche' spesso sono del tutto trascurabili e non apportano alcuna informazione utile per decidere che tipo di test vada effettuato.

Quello che conta per garantire la qualita' del software e' in primis un preciso e rigoroso "processo" di code review e testing e nel mondo open chiaramente abbiamo avuto esempi di come questo non avvenga sempre ma sia laciato un po' al caso.

   
14. FDG
giovedì 19 giugno 2008 alle 5:27 PM - unknown unknown unknown
   

@EnricoG

Quei metodi non dicono nulla della licenza del software. Io infatti non dico che si applicano ad un caso si e all'altro no. Dico solo che col codice disponibile se non mi fido di chi mi da il software posso affidarmi alle mie risorse. La differenza tra l'uno e l'altro caso è l'apertura del processo di verifica, che in un caso è trasparente, nell'altro no. E questa è una cosa su cui mi pare difficilmente si possa obiettare.

   
15. Paperino
giovedì 19 giugno 2008 alle 5:29 PM - unknown unknown unknown
   

@FDG:

 Casualmente viene alla ribalta col lancio del 3.

Non c'è niente di casuale. Il tipetto ha aspettato il rilascio della versione finale per verificare che il baco fosse ancora lì e fare più soldi. Tra contribuire a "migliorare la sicurezza del browser più sicuro del mondo per la gloria" e fare soldi ha scelto la seconda. Faccio notare che avrebbe potuto vendere la vulnerabilità al mercato nero.

La vulnerabilità di OSX non mi era sfuggita, vedi il link dopo la foto. Penso che le EoP locali siano peccati veniali quando sono molto complesse da realizzare: ma in questo caso di peccato mortale si tratta.

@Edward:

La mia posizione è riassunta da Scrooge e Blackstorm. Non c'è nessuna metrica concreta per giustificare il proclama di Window, vedi il numero di bachi o la mancanza di protected mode. Fino a quando il VP of Engineering in Mozilla penserà che patchare i bachi più velocemente è l'unica soluzione (solo perché in questa metrica Mozilla eccelle?) visto che il protected mode non è la panacea (vedi: aovestdipaperino.com/.../firefox-uri-han ) certi proclami suoneranno sempre ridicoli.

Follow her lead -> seguire i suoi consigli che l'hanno portata ad avere il browser più sicuro di tutti.

IE su OSX è stato interrotto quando in Apple hanno assunto una buona parte del team IE4Mac per creare Safari. Fino ad allora MacOS ancora non aveva un browser fatto in casa. Ritengo che Safari avrebbe le potenzialità per essere un browser migliore su piattaforma nativa soprattutto per quanto riguarda la sicurezza, ma se c'è una azienda che fa della sicurezza il proprio tallone d'Achille quella è Apple. In quanto a scelta limitata mi riferivo proprio al fatto che Safari è da questo punto di vista inusabile.

   
16. dovella
giovedì 19 giugno 2008 alle 5:51 PM - unknown unknown unknown
   

IO a questo punto ho pochi dubbi.

Quando nel 1997 Gates aiutò Jobs a rientrare in Apple ed investi 150 milioni di dollari (all epoca L intera APple valeva 12 dollari) dando poi

Internet explorer , Java, Office e l abaradan................

Ha anche poi donato il team (una parte del team) per creare Safari??

per me il caso è chiuso

gran parte di APple è di proprietà Microsoft senza potere di firma.

come si spiegherebbe altrimenti

supporto per live mesh

silverlight

bootcamp

Office

Exchange su Ifogne (da pazzi)

mancata risposta al Adv. espolovo di APple

Ci sono troppe cose che non mi quadrano

e dulcis in fundo

anche se qualcuno dice che Microsoft ha venduto le azioni APple io vi dico che setacciando il web peggio di un spieder di google non sono riuscito a trovare uno stralcio di prove reali che concretamente confermano nero su bianco che Microsoft avrebbe venduto queste azioni.

Aggiungo

Microsoft compra e non vende.

   
17. FDG
giovedì 19 giugno 2008 alle 6:16 PM - unknown unknown unknown
   

@Paperino

Non c'è niente di casuale

Io volevo proprio sottolineare questo

Penso che le EoP locali siano peccati veniali quando sono molto complesse da realizzare: ma in questo caso di peccato mortale si tratta

Si, setuid + do shell nel dizionario AppleScript dell'applicazione, sono una vera e propria strunz...

Attento, ora anche tu sei a rischio... o hai venduto il Mac?

IE su OSX è stato interrotto quando in Apple hanno assunto una buona parte del team IE4Mac per creare Safari

Aah... ecco da dove vengono tutti i problemi! Anche Vasna Wilson ha lavorato a lungo con voi, giusto?

Comunque, scherzi a parte, perché non riportare IE su OS X?

   
18. Edward
giovedì 19 giugno 2008 alle 8:15 PM - unknown unknown unknown
   

@ Paperino: contare le vulnerabilita' e le patch rilasciate serve solo a riconoscere la velocita' nel correggere le falle, nulla di piu'. E, in questo caso, il campione e' Opera [1], mentre sia Firefox [2] che IE [3] hanno piu' bug in sospeso.

Il parametro ideale sarebbe contare il numero di pc compromessi a causa del baco X presente nel programma Y (e, quindi, riconoscere anche la gravita' del bug e la possibilita' di / abilita' nel sfruttarlo), ma non e' facile e talvolta nemmeno possibile rintracciare con esattezza la causa ne' stimare il numero di pc coinvolti: ergo la domanda resta aperta.

La risposta di Schroeptfer e' tecnicamente ineccepibile (il PM non protegge da tutte le vulnerabilita' e, se non e' possibile evitare un bug curando la programmazione, patcharlo e' la soluzione immediatamente migliore) ma mi lascia deluso: il PM e' meglio di niente e la risposta non spiega perche' non sia stato possibile implementarlo (scelta tecnica o politica?). L'unica supposizione con un motivo tecnico e' la roadmap di Grand Paradiso: la roadmap del marzo 2005 [4], quando Vista non era ancora definitivo e si parlava di Longhorn, prevedeva lo sviluppo di FF3 per il 2006 e l'uscita nell'autunno di quell'anno; nell'aprile 2006 e' stata cambiata per riflettere i rallentamenti nello sviluppo e il lancio ufficiale e' stato posticipato alla primavera 2007 [5] salvo cambiare ancora a novembre 2007 e rimandare FF3 al novembre 2007 [6]. La prima alpha e' stata effettivamente rilasciata nel dicembre 2006 [7], due mesi dopo il lancio ufficiale di Vista Enterprise (per le versioni consumer si dovette attendere gennaio 2007), ed e' possibile che le scelte architetturali fossero gia' state decise e confermate.

Edward

[1] secunia.com/.../10615

[2] secunia.com/.../12434 : riporto le vulnerabilita' della 2.0.0.* perche' la 3.0 e' appena stata presentata.

[3] secunia.com/.../12366

[4] wiki.mozilla.org/.../index.php

[5] wiki.mozilla.org/.../index.php

[6] wiki.mozilla.org/.../index.php

[7] archive.mozilla.org/.../alpha1

   
19. Paperino
giovedì 19 giugno 2008 alle 8:34 PM - unknown unknown unknown
   

@FDG:

o hai venduto il Mac?

Seee ci ho messo così tanto per trovare un "buon" affare... resta il fatto che perché l'EoP sia un problema ci vuole un utente malintezionato: a casa mia la formichina non sembra per niente impressionata da Leopard.

perché non riportare IE su OS X?

Dimmi un buon motivo per farlo. Apple non è un partner con cui convenga avere molto a che fare. Lo switch a X86 tenuto nascosto così a lungo ha sorpreso persino quelli di MacOffice: ovviamente gli idioti che credevano alle parole di Steve Jobs che bastava semplicemente ricompilare non hanno perso occasione per malignare sui ritardi della versione x86 di Office. Poi ovviamente "mai dire mai". Vasna Wilson non l'ho mai sentita.

@Edward:

Non sono d'accordo sull'ineccepibilità della risposta di Shrep. Si può fare molto per ridurre la quantità di bachi che finisce nel prodotto finale (SDL che proprio Snyder se non sbaglio ha contribuito a definire); e si deve fare di tutto per usare le misure che una piattaforma mette a disposizione gratuitamente: il PM non è la panacea, ok, ma quanti di questi bachi l'avrebbero bypassato? Secondo me zero non è una risposta azzardata. Poi capisco che ci possano essere difficoltà tecniche, ma l'uscita di Shrep mi sembra quella della volpe che disprezza l'uva.

   
20. Edward
giovedì 19 giugno 2008 alle 9:05 PM - unknown unknown unknown
   

@ Paperino: condordo con te benche' non l'abbia scrito esplicitamente (fra le righe si: curare la progettazione per evitare i bug e' meglio di patcharli). La risposta e' deludente proprio perche' non spiega la mancata adozione del Protect Mode: sarebbe bastato un "Il PM ha fatto la comparsa con la beta 1 di Vista quando era troppo tardi per includerne il supporto in Gran Paradiso."

Nota: la roadmap e' stata cambiata a novembre 2006, non 2007.

Edward

   
21. Paperino
giovedì 19 giugno 2008 alle 9:20 PM - unknown unknown unknown
   

Edward:

sono molto scettico . Questo post ha la data di Agosto 2006 (che era ciò a cui suc si riferiva): blogs.zdnet.com/.../Ou

   
22. Kersal
giovedì 19 giugno 2008 alle 9:51 PM - unknown unknown unknown
   

ok ok lo so che non c'entra ma devo dirlo:

FIREFOX 3 è meravigliosooo! E' almeno 2 generazioni avanti a IE7...poi se abbia delle falle di sicurezza sinceramente me ne infischio (anche perchè, come anche MS, sono abbastanza solerti a patcharle)

   
23. Edward
giovedì 19 giugno 2008 alle 9:52 PM - unknown unknown unknown
   

@ Paperino: il giorno successivo Mike Beltzner ha risposto a Sam Ramji per accettare l'invito [1]. Forse Sam puo' dire qualcosa di piu' dei comunicati stampa, es. elencare le modifiche attuate per rendere Firefox maggiormente compatibile con Vista e, forse, motivare il mancato supporto al PM.

Edward

[1] news.zdnet.com/.../2100-9588-61094

   
24. Edward
giovedì 19 giugno 2008 alle 9:53 PM - unknown unknown unknown
   

@ kersal: ti ha morso una tarantola? Dovresti calmarti un po'

Edward

   
25. EnricoG
giovedì 19 giugno 2008 alle 10:07 PM - unknown unknown unknown
   

@FDG

avere decine di milioni di righe di sorgente di un OS ti da qualche sicurezza in piu'?

Se la tua voleva essere una battuta ti e' riuscita molto bene, se eri serio... beh ti manca un po' il contatto con la realta'

L'esempio piu' evidente e' stato il famoso baco di Debian sull'SSL.

   
26. Jack
venerdì 20 giugno 2008 alle 4:49 PM - unknown unknown unknown
   

Come dici sempre tu sulle falle di Vista:

"On the other hand, since this exploit seems to require physical access to the machine to be rooted, you might have some other security concerns to deal with at that point, like keeping the intruder from raiding your fridge on his way out. "

cioè accesso fisico richiesto.

Non che io tifi per Mac, però bisogna dire le cose come stanno.

E soprattutto in un post sulle vulnerabilità di Firefox, mettere un link ad una vulnerabilità di Macosx mi sembra un tantino da "furbetto", tipo Vespa che chiama a Porta a Porta tutti gli esperti di terrorismo e poi chiama la giornalista palestinese di La7 come se lei fosse una terrorista, in quanto palestinese. (e non voglio spostare il discorso sulla politica, ti giuro era il primo esempio che mi veniva in mente...veramente)

OT: per il portatile niente da fare, ti ringrazio ma ho trovato un'offerta allettantissima, speriamo solo non sia una fregatura!

   
27. EnricoG
venerdì 20 giugno 2008 alle 5:08 PM - unknown unknown unknown
   

@Jack,

non serve affatto accesso fisico, e' una local privilege escalation, basta includerla in un software apparentemente innocuo e il gioco e' fatto.

   
28. FDG
venerdì 20 giugno 2008 alle 5:48 PM - unknown unknown unknown
   

Dimmi un buon motivo per farlo

Non per Apple, ma per Microsoft. Legare IE solo a Windows? Quindi Windows è la piattaforma. Ma quando si parla di web il browser è la piattaforma. Quindi, avere un browser che può essere portato ovunque è come avere un sistema che può essere adattato a diversi hardware.

Apple non è un partner con cui convenga avere molto a che fare. Lo switch a X86 tenuto nascosto così a lungo ha sorpreso persino quelli di MacOffice

Però Office Mac continua ad essere sviluppato.

@EnricoG

Mah, quello che ti ho detto è chiaro. Se non l'hai capito rileggilo. Poi, se vorrai entrare nel merito, non disdegnerò la discussione. Ma figurarsi se lo farai.

@Jack

Basta anche un accesso ssh.

Comunque, basta modificare i permessi d'esecuzione come ho suggerito.

   
29. Paperino
venerdì 20 giugno 2008 alle 6:56 PM - unknown unknown unknown
   

@Jack:

tra exploit che richiedono accesso fisico (leggi cacciavite) e local EoP ci sono molte differenze, EnricoG e FDG hanno sintetizzato.

In quanto a Porta Porta faccio notare che sono utente Firefox su MacOS, quindi avantieri per me non era giornata. Per il portatile in bocca al lupo.

@FDG:

MacOffice -> $$$$$ ( blogs.msdn.com/.../we-re-2-we-re-2 )

MacIE -> $

   
30. FDG
sabato 21 giugno 2008 alle 12:06 PM - unknown unknown unknown
   

Hanno aggiornato Safari per Windows. La 3.1.2 chiede conferma dei download.

support.apple.com/.../HT2092

   
31. Paperino
sabato 21 giugno 2008 alle 5:16 PM - unknown unknown unknown
   

Non ho letto ancora i dettagli ma penso che si possa sintetizzare come "Apple, ritenta! Sarai più fortunata"

blogs.zdnet.com/.../security

   
32. FDG
domenica 22 giugno 2008 alle 12:18 PM - unknown unknown unknown
   

Ok, qualcuno mi fa notare che con i download incontrollati si può usare un altro software per fare danni. Aggiungo un controllo per controllare i download e poi qualcun altro mi fa notare che c'è un altro modo per ottenere lo stesso risultato. Quindi la mia patch è sbagliata? Forse incompleta, ma bisognerebbe mettere nella giusta sequenza temporale gli eventi per potersi permettere di dire qualcosa.

Il posto originale è interessante. A proposito di "ecosistemi" e di come gli attacchi si stiano spostando sulla combinazione di strumenti diversi e degli effetti del loro comportamento, mi chiedo perché Apple non ha rilasciato la stessa patch su OS X sostenendo che nel loro sistema questo non è un problema. Magari è una considerazione fondata (penso al meccanismo delle quarantene). Oppure, paranoicamente, non c'è la comunque la certezza di aver previsto tutto.

   
33. FDG
domenica 22 giugno 2008 alle 12:23 PM - unknown unknown unknown
   

p.s.: comunque, nel post non si capisce se il problema negli altri modi per usare FF per l'attacco c'entri ancora Safari o no.

   
34. RNiK
martedì 8 luglio 2008 alle 12:58 PM - unknown unknown unknown
   

Paperino... con tutto il rispetto: citare qui una vulnerabilità di Firefox 3 mi fa venire in menti il famoso detto "il bue che da del cornuto all'asino". :inn:

L'impegno :rolleyes: che Microsoft ha dedicato al proprio browser negli ultimi anni è sotto l'occhio di tutti.

Certo, IE7 su Vista è stato un bel passo avanti ma, come dimostrano i recenti annunci, la strada del IETeam è ancora lunga.

   
35. Blackstorm
martedì 8 luglio 2008 alle 1:21 PM - unknown unknown unknown
   

@RNiK:

Scusami un attimo, se gli utenti non aggiornano il software, la colpa è di MS? Se tu balordo non aggiorni IE alla versione 7 e ti tieni la 6, mi pare che la cosa non dipenda da me che lo distribuisco. Sbaglio?

   
[ Pagina 1 di 2  - più vecchi ]
Lascia un commento:
Commento: (clicca su questo link per gli smiley supportati; regole di ingaggio per i commenti)
(opzionale, per il Gravatar)