PDA

Visualizza versione completa : Firefox: nuova falla!


Robbi
26-07-2007, 08.58.59
<p align="center"><img style="WIDTH: 352px; HEIGHT: 254px" height="254" hspace="0" src="http://pollycoke.files.wordpress.com/2006/12/fflogo.jpg" width="352" align="baseline" border="0"></p><a href="http://pollycoke.files.wordpress.com/2006/12/fflogo.jpg"></a><p align="justify">Mozilla sta vivendo un momento&quot; nero&quot; per quanto riguarda le problematiche di sicurezza del suo popolare browser open-source Firefox. </p><p align="justify">Gli esperti di sicurezza hanno infatti segnalato l'esistenza di una nuova vulnerabilità nel codice del prodotto che espone username e password degli utenti e che affligge anche la più recente versione Firefox 2.0.0.5. </p><p align="justify">Nel frattempo tiriamoci su il morale con una delle versioni proposte come nuovo logo dell'Azienda! Eccolo!</p><br /><br /><a href="http://www.wintricks.it/framer.php?url=http://www.heise-security.co.uk/services/browsercheck/demos/moz/pass1.shtml" target="_blank"> <li>Maggiori Info</li> </a><br /><br />

Thor
26-07-2007, 09.22.05
il link alla notizia è questo:
http://www.heise-security.co.uk/news/93232

Robbi ha messo una pagina dove si può provare la vulnerabilità, ma non l'ho trovata nei links che partono dalla pagina sopra.
Qualcuno può dirmi se si riferisce a questa vulnerabilità, o quella passata simile?

Comunque, se è attuale, firefox 3.0a7 NON è vulnerabile (Y)

Robbi
26-07-2007, 09.23.50
Ah! Grazie Manu (Y)

theuncle
26-07-2007, 10.27.08
Chissà quanto soffre quel gattino... mi ci metterei io lì pur di non vederlo soffrire così... :D

harman
26-07-2007, 11.37.23
Gli esperti di sicurezza hanno infatti segnalato l'esistenza di una nuova vulnerabilità nel codice del prodotto che espone username e password degli utenti e che affligge anche la più recente versione Firefox 2.0.0.5.

Per evitare questa vulnerabilità è sufficiente installare Secure Login (http://forum.wintricks.it/newreply.php?do=newreply&p=1360176)

Il furto di password non riguarda tutte le password memorizzate ma solo quelle dello stesso dominio visualizzato ed il sito maligno che le ruba deve essere hostato sullo stesso dominio.
Nessun problema sui sito delle Banche ma invece potrebbero essercene sui siti tipo geocities o altervista che ospitano sullo stesso dominio più siti, ma naturalmente dovrete entrare sul sito geocities/altervista maligno affinchè questo riesca a fregarvi le password che avete di altri siti geocities/altervista

Non so se mi sono capito :wall:

;)

RNicoletto
26-07-2007, 13.48.42
OT x Robbi
Firefox non è una "volpe rossa" ne tanto meno un "gatto rosso" ma bensì un panda rosso.

http://upload.wikimedia.org/wikipedia/commons/thumb/0/02/RedPanda.jpg/200px-RedPanda.jpg

Ciò non toglie che anch'io farei volentieri a cambio con il gattino della foto! :inn:

x harman
Ottima extension quella da te segnalata! ;)

Per completezza di informazioni ti dico che anche avendo installato NoScript (http://noscript.net/) il problema non si presenta.

thedox
26-07-2007, 15.16.13
Non capisco chi si ostini ad usare un browser tanto lento , buggato , e schifosamente insicuro... complimenti al mondo opensorcio e ai prodotti scadenti... tornate a giocare con i lego va....

IE Rulezzzzz

theuncle
26-07-2007, 15.19.13
Non capisco chi si ostini ad usare un browser tanto lento , buggato , e schifosamente insicuro... complimenti al mondo opensorcio e ai prodotti scadenti... tornate a giocare con i lego va....

IE Rulezzzzz

Notevole commento... complimenti.

Gergio
26-07-2007, 15.23.52
Non capisco chi si ostini ad usare un browser tanto lento , buggato , e schifosamente insicuro... complimenti al mondo opensorcio e ai prodotti scadenti... tornate a giocare con i lego va....

IE Rulezzzzz
Commenti e critiche costruttive sono sempre gradite, post che cercano di generare flame, invece, no.

Primo e ultimo avviso

bricci_mn
26-07-2007, 16.19.34
il link alla notizia è questo:
http://www.heise-security.co.uk/news/93232

Robbi ha messo una pagina dove si può provare la vulnerabilità, ma non l'ho trovata nei links che partono dalla pagina sopra.
Qualcuno può dirmi se si riferisce a questa vulnerabilità, o quella passata simile?

Comunque, se è attuale, firefox 3.0a7 NON è vulnerabile (Y)


Come mai se io uso (in questo momento sono connesso con FF) questo sito di prova, l'errore non salta fuori???
Sbaglio io qualcosa o la fortuna di passare attraverso numerosi firewall, router, PIX, proxy e lazzi vari aiuta ad essere protetti dal baco? :)

A programmazione sono zero, quindi un chiarimento lo apprezzerei molto... :)

Mi spiego meglio: il test lo faccio con pippo - pluto, la finestrella che dice il tuo user è: .... la tua password è: .... appare, ma al posto di .... c'è uno spazio vuoto e né user né password saltano fuori! :)

Ammammata
26-07-2007, 16.24.58
Trovo eccessivo l'utilizzo del punto esclamativo per sottolineare *un* baco di un programma... non oso immaginare come si dovrebbe commentare la prima versione di windows xp :inn:

bricci_mn
26-07-2007, 16.32.44
Trovo eccessivo l'utilizzo del punto esclamativo per sottolineare *un* baco di un programma... non oso immaginare come si dovrebbe commentare la prima versione di windows xp :inn:

C'è gente che ha commesso atti osceni in luogo pubblico in quel periodo... e non per godimento personale... :devil: :inkaz:

Thor
26-07-2007, 16.40.53
Come mai se io uso (in questo momento sono connesso con FF) questo sito di prova, l'errore non salta fuori???
Sbaglio io qualcosa o la fortuna di passare attraverso numerosi firewall, router, PIX, proxy e lazzi vari aiuta ad essere protetti dal baco? :)

A programmazione sono zero, quindi un chiarimento lo apprezzerei molto... :)

Mi spiego meglio: il test lo faccio con pippo - pluto, la finestrella che dice il tuo user è: .... la tua password è: .... appare, ma al posto di .... c'è uno spazio vuoto e né user né password saltano fuori! :)perché non so se Robbi ha linkato la pagina giusta. non mi sembra che per ora ci sia un sito per testare la vulnerabilità.

P4XP
27-07-2007, 03.21.39
Non capisco chi si ostini ad usare un browser tanto lento , buggato , e schifosamente insicuro... complimenti al mondo opensorcio e ai prodotti scadenti... tornate a giocare con i lego va....

IE Rulezzzzz

stai parlando di IE vero???... :devil:

leofelix
27-07-2007, 04.31.21
"However, the demonstrated exploit is only possible under unusual conditions. It requires the malicious code to reside in the same trust domain as the attacked server (e.g. as a virtual host). Further the server always sets a cookie in the HTTP response header where it can be read by the client using the req.getAllResponseHeaders method."

Non credo ci sia bisogno di traduzioni:-)

Sarà anche per questo che l'estensione "no script" per FF non andrebbe mai dimenticata


leofelix Firefox user;)

ottobre_rosso
31-07-2007, 10.11.32
Speriamo che la cosa si risolva con la 2.0.0.6 (http://sw.wintricks.it/article.php?ID=16702) ;)

Thor
31-07-2007, 11.25.07
a quanto pare la falla in questione NON è stata risolta dalla nuova versione 2.0.0.6

RNicoletto
31-07-2007, 12.32.44
a quanto pare la falla in questione NON è stata risolta dalla nuova versione 2.0.0.6
Confermo! (http://forum.wintricks.it/showthread.php?postid=1362612#post1362612) :o