Firefox 3.6: scoperto un importante bug

[Redazione]

Nuovo browser, nuovo bug. È stata scoperta una falla importante in Mozilla Firefox 3.6, rilasciato giusto un mese fa.

Si tratta di un exploit che rende possibile eseguire codice da remoto sul computer preso di mira. Sfruttando tale vulnerabilità, infatti, malintenzionati potrebbero prendere il controllo del PC tramite la Rete ed installare su di esso worm, trojan o altro software dannoso. Evgeny Legerov, proprietario dell'azienda moscovita Intevydis e scopritore del bug, ha dichiarato che l'exploit agisce corrompendo la memoria heap allocata dal browser.

L'exploit, giudicato critico dagli esperti di Secunia, è stato rilasciato dall'azienda di sicurezza Immunity Inc., ma non è stato distribuito pubblicamente, dal momento che il codice è stato aggiunto al modulo VulnDisco 9.0, un add-on per la suite Immunity Canvas dedicata ai professionisti della sicurezza. Potrebbero passare solo alcuni giorni prima che qualche cracker sviluppi codice in grado di sfruttare l'exploit, ma è possibile che entro questa settimana venga rilasciato un aggiornamento di sicurezza in grado di blindare il browser da questo tipo di attacco.

[the president]

vbb x un bug si puo' lasciar andare....IE è un bug di suo

[Kurtferro]

in genere qualche giorno è sistemano

[RunDLL]

Ma no dai!!! Pensavo che solo Internet Explorer fosse affetto da Bug, ma allora anche il perfettissimo FireFox???

[Kurtferro]

Quota:

Inviato da RunDLL

Ma no dai!!! Pensavo che solo Internet Explorer fosse affetto da Bug, ma allora anche il perfettissimo FireFox???

se fosse perfetto sarebbe ancora alla versione 1.0
ie è una ciofeca principalmente perchè non segue gli standard, anche se fosse perfetto è come vendere un auto in italia con la guida a destra

[LoryOne]

Stessa metodologia, codice solo leggermente modificato. Anche il baco che affligge IE6 e successivi sfrutta l'heap per eseguire codice arbitrario. Cliccando su un link che punti ad un server in ascolto su porta 80, viene eseguito l'exploit che consente di aprire una reverse shell sulla macchina bersaglio. E' però strettamente necessario che siano attivati gli script. Una volta stabilita la connessione, si ha la shell di Windows a disposizione da remoto, ma con quali privilegi ?
Beh, non è poi un gran problema, ma il colpo grosso lo si fa su macchine con privilegi di amministratore.

ps: C'è forse qualcuno che naviga senza script attivati o che legge e-mail in formato testule ? FATELO, almeno fino al rilascio della patch.

[RunDLL]

Quota:

Inviato da Kurtferro

se fosse perfetto sarebbe ancora alla versione 1.0
ie è una ciofeca principalmente perchè non segue gli standard, anche se fosse perfetto è come vendere un auto in italia con la guida a destra

Strano perchè chi parla di Firefox di solito lo fa con una saccenza fuori dell'ordinario come se avesse la verità in tasca e chi usa qualcosa della Microsoft quasi non avrebbe nemmeno il diritto di vivere.
Intanto se apro 10 siti con Internet Explorer li vedo tutti come il creatore vuole farli vedere, non altrettanto si può dire di FireFox che ne farà vedere 7 come il creatore ha voluto e 3 tutti storpiati.
Adesso dovrò sentire la solita tiritera che il disegnatore non segue gli standard, ma standard o non standard il risultato è quello che conta, vedere un sito storpiato non mi pare un gran risultato.
Al contrario Internet Explorer è più bravo perchè fa vedere i siti come sono, interpreta sia gli standard che in non standard, Firefox invece è limitato.
Per non parlare poi del rendering che è veramente scandaloso.
Adesso non ritirate fuori il discorso dello standard anche sul rendering perchè vi dico subito che uno dei siti che appena aperti si vede un quadrato là, uno di quà, uno sotto ed uno sopra, tutto sconclusionato è proprio Wintricks, ovviamente solo con Firefox. Sotto Linux la situazione non è diversa, anzi...

[Kurtferro]

Quota:

Inviato da RunDLL

Strano perchè chi parla di Firefox di solito lo fa con una saccenza fuori dell'ordinario come se avesse la verità in tasca e chi usa qualcosa della Microsoft quasi non avrebbe nemmeno il diritto di vivere.
Intanto se apro 10 siti con Internet Explorer li vedo tutti come il creatore vuole farli vedere, non altrettanto si può dire di FireFox che ne farà vedere 7 come il creatore ha voluto e 3 tutti storpiati.
Adesso dovrò sentire la solita tiritera che il disegnatore non segue gli standard, ma standard o non standard il risultato è quello che conta, vedere un sito storpiato non mi pare un gran risultato.
Al contrario Internet Explorer è più bravo perchè fa vedere i siti come sono, interpreta sia gli standard che in non standard, Firefox invece è limitato.
Per non parlare poi del rendering che è veramente scandaloso.
Adesso non ritirate fuori il discorso dello standard anche sul rendering perchè vi dico subito che uno dei siti che appena aperti si vede un quadrato là, uno di quà, uno sotto ed uno sopra, tutto sconclusionato è proprio Wintricks, ovviamente solo con Firefox. Sotto Linux la situazione non è diversa, anzi...

Se sei ignorante nel campo non inventarti cavolate, se tu vedi male un sito con firefox è perchè chi l'ha fatto non è degno di essere chiamato web designer, i siti degni di nota seguono gli standard ma anche il più ignorante puo mettersi a farlo purtroppo, non è che qualcuno ti vieta di fare il tuo sito come cavolo ti pare, ma se le case fossero costruite (e purtroppo in italia è spesso così) senza seguire uno standard di sicurezza ci sarebbe da vantarsene?

lo stesso vale per il web dove esistono gli standard e andrebbero seguiti,
il problema l'ha proprio creato ie che essendo il piu diffuso (e il successo non è di certo da accreditare alla qualità di ie ma alla politica monopolìstica di microsoft) perchè il lavoro più difficile è fare un sito che sia visibile da ogni browser, un lavoro che spesso non riesce ai meno esperti, proprio quelli che tu stai lodando...
un lavoro che non sarebbe necessario se ie avesse seguito gli standard, per chi lavora nel campo è tempo in più da perdere per realizzare un sito = costi maggiori, maggior traffico web, perche bisogna utilizzare spesso script quindi più codice = più inquinamento etc tutte cose positive per te vero? pensala come vuoi..

ps: io wintricks lo vedo benissimo con firefox, nessun quadrato di qua o di la... su linux non mi interessa proprio perchè non puoi compararlo in nessun modo con ie visto che non esiste una versione nativa per linux.

[the president]

dai nnt in questo mondo è perfetto,programmi inclusi....ma di certo meglio avere un programma con un bug(firefox)che 1 che ne ha 200 IE

https://bugzilla.mozilla.org/buglist...roduct=Firefox

Bug major/critici non ancora risolti del branch 3.6 su windows e linux Solo uno?

[Kurtferro]

Quota:

Inviato da Semi.genius

https://bugzilla.mozilla.org/buglist...roduct=Firefox

Bug major/critici non ancora risolti del branch 3.6 su windows e linux Solo uno?

questi sono i report degli utenti e spesso la causa non è firefox, certi sono bug o dovuti ad altre cause, virus, windows devastato da utenti inesperti, problemi hardware o componenti aggiuntivi fatti male o non ancora aggiornati all'ultima versione installati disabilitando il controllo della compatibilità.
a me nn crasha quando cerco ne quando parte java, quindi sono bug per modo di dire sono solo report automatici di crash ma non è sempre firefox la causa.

Beh i bug non sono sempre quelli che succedono sempre nelle stessecircostanze. Gli heisenbug, bohrbug, mandelbug, Schroedinbug, moon Bug ecc. sono difficili da studiare. Se un programma è STABILE (STABILE, non perfetto) nel vero senso della parola non dovrebbe crashare anche se ad avere un problema diretto sono i programmi indiretti. perché dire altrimenti, vuol dire che sono vulnerabili già di suo agli attacchi Denial Of Service.

Se un programma crasha, la colpa è del componente che lo fa crashare ma è anche colpa del programma principale che non sa prevenire/avvisare per sti problemi.

[RunDLL]

Certo che paragonare una casa con un browser è proprio un paragone calzante! Infatti la casa ed un software sono proprio uguali. Va bhè...
Allora Internet Explorer mi fa vedere i siti fatti da ignoranti e grandi geni dell'informatica, Firefox solo quelli fatti dai geni.
Cambiando l'ordine dei fattori in prodotto non cambia, il risutlato è sempre quello che vedo tutti i siti come vorrei vederli a prescindere da come e chi l'ha fatti.

Quota:

Inviato da Kurtferro

ps: io wintricks lo vedo benissimo con firefox, nessun quadrato di qua o di la... su linux non mi interessa proprio perchè non puoi compararlo in nessun modo con ie visto che non esiste una versione nativa per linux.

Io ho precisato "Quando apri il sito di Wintricks"! Prova a dire che non è vero che appena aperto Wintricks vedi solo tutte strisce blu che poi prendono il loro giusto posto ai lati!

Quota:

Inviato da Kurtferro

questi sono i report degli utenti e spesso la causa non è firefox, certi sono bug o dovuti ad altre cause, virus, windows devastato da utenti inesperti

Dice che Firefox è immune da Virus?
E come mai gli stessi utenti inesperti non "devastano" anche Internet Explorer?

[Kurtferro]

Quota:

Inviato da RunDLL

Certo che paragonare una casa con un browser è proprio un paragone calzante! Infatti la casa ed un software sono proprio uguali. Va bhè...
Allora Internet Explorer mi fa vedere i siti fatti da ignoranti e grandi geni dell'informatica, Firefox solo quelli fatti dai geni.
Cambiando l'ordine dei fattori in prodotto non cambia, il risutlato è sempre quello che vedo tutti i siti come vorrei vederli a prescindere da come e chi l'ha fatti.

Io ho precisato "Quando apri il sito di Wintricks"! Prova a dire che non è vero che appena aperto Wintricks vedi solo tutte strisce blu che poi prendono il loro giusto posto ai lati!

dacci qualche link di questi fantastici siti non visualizzabili da firefox e vediamo un pò

io non ho il tuo problema la pagina la vedo da subito corretta, forse hai una connesisone lenta e fai fatica a caricare certi elementi che si posizionano in ritardo, una volta in cache non dovrebbe più succederti. wintriks è la mia homepage da almeno 6 anni, l'avrò aperta milioni di volte con firefox, testimone semigenius se si ricorda.

Quota:

Inviato da RunDLL

Certo che paragonare una casa con un browser è proprio un paragone calzante! Infatti la casa ed un software sono proprio uguali. Va bhè...
Allora Internet Explorer mi fa vedere i siti fatti da ignoranti e grandi geni dell'informatica, Firefox solo quelli fatti dai geni.
Cambiando l'ordine dei fattori in prodotto non cambia, il risutlato è sempre quello che vedo tutti i siti come vorrei vederli a prescindere da come e chi l'ha fatti.

pero' non è propriamente corretto per chi lavora nel web design, avere a che fare con un bastian contrario. L'utente non si cura di questi problemi...ma prova a dirlo ad un designer che ci spende notti per riscrivere le funzioni in modo da essere compatibili con IE.

Pero' c'è da dire che neanche Firefox segue propriamente gli standard e, anzi, ne aggiunge di nuovi, invogliando i designer ad andare fuori binari W3C. Vedi ad esempio i Mozilla CSS Extensions.

La Microsoft dovrebbe rilasciare non major update come IE7,Ie8 ecc. ma continui aggiornamenti di rendering in modo da stare a pari passo con gli standard. Invogliare Microsoft! Ma non come si fa adesso, mettendo banner a tutto spiano dicendo che IE fa schifo e Firefox/Opera (e bloccare pure i siti se vanno con IE!) è meglio bensì partecipando direttamente con il social di Microsoft.