Mozilla Firefox sempre più vulnerabile

[WinTricks]

Non sono per nulla incoraggianti i dati forniti da Symantec all'interno dell'annuale Internet Security Threat Report, reso pubblico nei giorni scorsi.

Tra spam, phishing, violazioni della privacy e malware, per il navigatore, soprattutto se poco protetto e sprovveduto nel suo agire, il pericolo si nasconde dietro l'angolo.

Nel corso del 2008 sarebbe infatti aumentato a dismisura il numero delle minacce presenti in rete, in particolar modo quelle legate ad "infezioni" contratte via browser, a tal punto che nemmeno i siti Web più noti sarebbero al sicuro.

Una delle pratiche più diffuse messe in atto dai cyber-criminali resta infatti quella di includere nelle pagine un iframe invisibile all'utente, in grado di reindirizzarlo verso i server contenenti codice maligno.

Tra i malware (cresciuti in termini quantitativi del 265% in un anno), il più devastante è stato senza dubbio Conficker, noto anche come Downadup, in grado di infettare milioni di PC in tutto il mondo.

Preoccupante anche il mercato dei dati personali rubati ai navigatori, con un vero e proprio tariffario in cui i dati di accesso ad una casella di posta sono valutati dai 10 ai 100 dollari, quelli relativi alle carte di credito da pochi centesimi a 30 dollari, mentre quelli che forniscono pieno accesso a conti bancari possono arrivare a richiedere un "investimento" di addirittura 1000 dollari.

350 miliardi di messaggi email contenenti spam e 5.500 vulnerabilità nei software (il 20% rispetto al 2007) contribuiscono a delineare la situazione presa in esame.

Per quanto riguarda i browser, invece, Firefox sembra essere stato colpito da circa il 99% delle vulnerabilità rilevate nel 2008, Internet Explorer dal 47%, Safari dal 40%, Opera dal 35% e Chrome solo dall'11%.




Fonte

[SK888]

per forza, più diventa famoso più diventa vulnerabile.
forse ora si capirà perchè internet explorer è così tanto vulnerabile... e non perchè faccia schifo come browser

Quota:

Inviato da SK888

per forza, più diventa famoso più diventa vulnerabile.
forse ora si capirà perchè internet explorer è così tanto vulnerabile... e non perchè faccia schifo come browser

(Y) ma non credo sia solo questione di fama, bensì anche di complessità... tanto più un applicazione diventa complessa per gestire tutte le necessità, tanto meno diventa affidabile.

[RunDLL]

Ben detto SK888! Sarà ora che si capisca che certi software non hanno problemi solo perchè non c'è diffusione e se non c'è diffusione nessuno ha interesse a creare problemi solo a pochi.
I problemi alla Microsoft glieli hanno creati solo per questo, perchè è diffusa ed anche un po' per invidia diciamola tutta già che ci siamo.

Quota:

Inviato da RunDLL

Ben detto SK888! Sarà ora che si capisca che certi software non hanno problemi solo perchè non c'è diffusione e se non c'è diffusione nessuno ha interesse a creare problemi solo a pochi.
I problemi alla Microsoft glieli hanno creati solo per questo, perchè è diffusa ed anche un po' per invidia diciamola tutta già che ci siamo.

Sì ma non lo vedrei così male questo dettaglio...le continue minacce hanno reso il browser più robusto, quindi ne ha tratto esperienza anche...ciò che pero' ha reso controproducente, sono gli ottusi che appena vedono che è stata scoperta una vulnerabilità, lo associano alla "Microsoft ladrona" che vuole fare monopolio e marciarci di sorpa, la pubblicità con cui si basano gli altri browser, i parerei dell'espertone di turno, si scelgono subito le alternative..

Ma ovviamente non si può dire nulla perché Firefox è Open Source....

[miciomao]

Comprate le azioni della Mozilla

quest'anno c'è stato il sorpassone con il ditone

http://en.wikipedia.org/wiki/Usage_s...TheCounter.com

[leofelix]

la Symantec però non dice che l'add on per Firefox che distribuisce assieme ai prodotti Norton 2009 non solo è incompatibile con FF, ma è anche classificato come spyware (da altri software house di sicurezza) in quanto si tratta della ask toolbar (distribuita anche da AVG).

Il resoconto in merito a FF si direbbe basato su quello di Secunia: indubbiamente generico e poco corretto..

qui la risposta di Mozilla

http://blog.mozilla.com/security/200...curity-metric/

[RNicoletto]

UFF... Mi stufo a scrivere sempre le stesse cose.

1 - Contare il numero di vulnerabilità non serve a nulla!
Mozilla Firefox è software Open Source. TUTTE le vulnerabilità siano esse interne o esterne, pubbliche o private, alla fine finiscono su Bugzilla e sono liberamente consultabili. Lo stesso non si può dire per IE, Opera e Safari.

2 - Non tutte le vulnerabilità sono uguali
Sia i vendor (Mozilla, Microsoft, Apple, ecc..) che le società di sicurezza (Symantec, Secunia, ecc...) usano valutare le vulnerabilità dividendole in Critical, Medium e Low. Una vulnerabilità che garantisce il controllo del PC da remoto non può essere paragonata ad una vulnerabilità che non fa funzionare un plugin.

3 - "Periodo di esposizione", questo sconosciuto
Lo sapete che le vulnerabilità hanno una "data di scadenza"?? Lo sapete che il periodo temporale che va dall'individuazione della vulnerabilità al rilascio della patch da parte del vendor si chiama "periodo di esposizione"?? Lo sapete che:

Quota:

Safari had the longest window of exposure between when the exploit code was released for a vulnerability and when a vendor released a patch, with a nine day average, while Mozilla had the shortest with a less than one day average.

Così se facciamo i conti della serva (*) e moltiplichiamo il numero di vulnerabilità rilevate per il periodo di esposizione medio otteniamo che:

• Firefox ==> 99 x 1 = 99
• Internet Explorer ==> 47 x 7 = 329
• Safari ==> 40 x 9 = 360
• Opera ==> 35 x 1 = 35
• Google Chrome ==> 11 x 3 = 33

(*) Il calcolo è comunque tre volte sbagliato; oltre ai punti 1 e 2 di cui sopra bisogna aggiungerci che Google Chrome non viene valutato sui 12 mesi ed si tratta inoltre di un software in beta.

4 - Internal vulnerability discovery <> Exploit in the wild
Tradotto: se una vulnerabilità viene individuata internamente dal vendor e viene dichiarata solo contestualmente al rilascio della patch ha un "peso" decisamente diverso da una vulnerabilità individuata da terzi che magari già la sfruttano nei nuovi malware in circolazione.

5 - ActiveX ovvero il "cancro" della sicurezza nei browser
Credo che l'immagine qui sotto, tratta da report Symantec di cui la news, non abbia bisogno di ulteriori commenti.

6 - Ma quando arrivano le patch?
Avete letto del PWN2OWN 2009?? Quella specie di gara per bucare browser, Sistemi Operativi ed applicativi di terze parti?? Nessuno dei maggiori browser (no Opera e no Chrome, sorry!) ne è uscito indenne. La differenza? Beh, Mozilla ha rilasciato Firefox 3.0.8 già il 27 marzo, Microsoft ha rilasciato il bollettino di sicurezza MS09-014 il 14 aprile (che "credo" sistemi la vulnerabilità in questione), mentre Apple Safari... non pervenuto!

UFF... Basta! Alla prossima news sui rapporti di sicurezza Secunia/Symantec/McAfee/nomedientesocietàdisicurezzaacaso mi limiterò a linkare questo post.

[Regulus]

Quota:

Inviato da leofelix

la Symantec però non dice che l'add on per Firefox che distribuisce assieme ai prodotti Norton 2009 non solo è incompatibile con FF, ma è anche classificato come spyware (da altri software house di sicurezza) in quanto si tratta della ask toolbar (distribuita anche da AVG).

Devo fare un appunto a questo intervento: l'Add-on per Firefox (ma anche per IE) era incompatibile fino al rilascio dell'ultimo engine, il 16.5.0.134. Adesso è perfettamente compatibile. Non so dirti se è riconosciuto come spyware visto che io uso Norton 2009 che mi sembra moooolto migliorato rispetto al passato (già rispetto alla versione 2008), e anche le ultime statistiche di av-comparatives.org di marzo lo confermano.

[leofelix]

Quota:

Inviato da Regulus

Devo fare un appunto a questo intervento: l'Add-on per Firefox (ma anche per IE) era incompatibile fino al rilascio dell'ultimo engine, il 16.5.0.134. Adesso è perfettamente compatibile. Non so dirti se è riconosciuto come spyware visto che io uso Norton 2009 che mi sembra moooolto migliorato rispetto al passato (già rispetto alla versione 2008), e anche le ultime statistiche di av-comparatives.org di marzo lo confermano.

Mi fa piacere che alla Symantec abbiano corretto il problema: ho usato Norton av 2009 e anche testato su alcuni campioni di malware pochi mesi fa (non nascondo la delusione: alcuni rogue riconosciuti da altri antivirus e antispyware sono passati allegramente). E' certamente migliorato sotto molti aspetti (velocità di installazione e stabilità per esempio) e anche la campagna promozionale della Symantec si è fatta sentire forte e chiara.

In quanto alla barra di ask.com

http://msmvps.com/blogs/donna/archiv...e-vendors.aspx

Anche Comodo per esempio mi chiede se la voglio installare, ma basta deselezionarla.
Comodo è gratuito ed offre quello che è considerato il più potente Personal Firewall, e mi lascia scegliere.

Norton non è gratuito e non mi lascia scegliere (se installare o meno la ask.com toolbar).. o la Symantec ha iniziato a offrire anche questa scelta?

[Regulus]

Quota:

Inviato da leofelix

Norton non è gratuito e non mi lascia scegliere (se installare o meno la ask.com toolbar).. o la Symantec ha iniziato a offrire anche questa scelta?

A me non ha mai chiesto d'installarla e non me l'ha neanche mai installata... Io l'ho installato regolarmente con il CD...Boh

[leofelix]

Quota:

Inviato da Regulus

A me non ha mai chiesto d'installarla e non me l'ha neanche mai installata... Io l'ho installato regolarmente con il CD...Boh

Quota:

Inviato da Regulus

Devo fare un appunto a questo intervento: l'Add-on per Firefox (ma anche per IE) era incompatibile fino al rilascio dell'ultimo engine, il 16.5.0.134. Adesso è perfettamente compatibile.

è quella cui fai riferimento

[Antonius Blok]

Quota:

Inviato da RNicoletto

UFF... Mi stufo a scrivere sempre le stesse cose.

UFF... Basta! Alla prossima news sui rapporti di sicurezza Secunia/Symantec/McAfee/nomedientesocietàdisicurezzaacaso mi limiterò a linkare questo post.

Sei grande
Mi stampo questa risposta per tenerla come promemoria

[Regulus]

Quota:

Inviato da leofelix

è quella cui fai riferimento

Quello a cui faccio riferimento è un plug-in che si chiama: Norton IPS v1.0 è la stessa cosa di cui parli tu? Che comunque si può disinstallare...