luglio 2004
Archivio mensile
Inserito da Giuliano il 28 lug 2004 alle 20:23 nella categoria Senza categoria.
Nei prossimi giorni verranno resi disponibili i rimedi per le falle nella gestione dei certificati
Ci vorrà una settimana prima che siano disponibili i software di Mozilla e Firefox che rimedino ai due difetti in fatto di sicurezza riscontrati in questi giorni nei due browser della Mozilla Foundation.
Le due “vulnerabilità”, sono state individuate e riparate già lunedì anche se per ora non sono disponibili né patch né nuove versioni protette dei browser. Mozilla.org ancora non sembra aver deciso quale delle due strade verrà presa, anche se ha assicurato che i rimedi verranno resi disponibili nei prossimi giorni.
La prima vulnerabilità , giudicata dal team di Mozilla la più seria, permette a un sito di “fingere” di avere un certificato di sicurezza anche quando non l’ha. Il che si traduce, dicono gli esperti, in un problema quando un sito in malafede riesce a spacciarsi affidabile – come lo sono, per esempio Ebay o la propria banca on line – e quindi spinge l’utente a lasciare i dati della carta di credito. L’altra vulnerabilità permette a un attaccante di sovrascrivere i certificati della root certificate authority, causando così un messaggio di errore quando l’utente prova a entrare in un sito veramente certificato come sicuro.
I responsabili di Mozilla hanno “giustificato” il fatto che le vulnerabilità fossero loro sfuggite attribuendo la parte del codice in questione al predecessore dei browser del open-source, Netscape.
Di Luigi Gavazzi, tratto da MyTech.it
Inserito da Giuliano il 28 lug 2004 alle 19:24 nella categoria Senza categoria.
Un’alternativa gratuita a Internet Explorer.
Nonostante rimanga il browser più utilizzato, gli utenti esperti sanno bene che Internet Explorer è quello capace di garantire minor privacy e sicurezza, proprio a causa della sua tendenza ad aprire automaticamente finestre pop-up e alla bassa resistenza che offre a dialer piuttosto che a semplici virus. Per fortuna ci sono vari browser alternativi, compatibili con Internet Explorer ma più sicuri, veloci e, soprattutto, privi della sgradevole necessità commerciale di accettare i pop-up. Tra i tanti, Mozilla Firefox occupa un posto di prim’ordine grazie alle sue ottime credenziali. Sviluppato sul motore del più noto Mozilla, un browser che ultimamente si sta espandendo con funzioni ulteriori rispetto alla mera navigazione, Firefox è una specie di “ritorno alle origini”: un programma con pochissimi fronzoli che punta sulla velocità e sull’ottimizzazione per differenziarsi dal suo fratello maggiore, e che rispetto al più noto Explorer fa meglio e di più. Una volta scaricato e installato, Firefox è pronto per navigare senza modificare nessuna impostazione: il blocco dei pop-up e di altri applicativi dannosi è automatico e il programma può importare i “Preferiti” di Explorer, Mozilla, Opera e degli altri browser più diffusi (quest’operazione può fallire se i vari programmi sono installati con lingue differenti o in versioni non supportate). L’utility di download è ottima e nel complesso il programma è pienamente compatibile con ogni sito. Con Firefox la navigazione è estremamente intuitiva e rapida, anche grazie a una piccola finestra di Google inclusa nella barra dei comandi e a FastFind, una funzione che permette di selezionare una parola o un link tramite tastiera, semplicemente digitandone le prime lettere. Rispetto a Internet Explorer il “limite”, se così possiamo chiamarlo, è la necessità di scaricare manualmente i plugin per abilitare il supporto di animazioni e interfacce in Flash, Java e Shockwave. L’operazione tuttavia è molto semplice e guidata dal programma stesso. La nuova incarnazione di Mozilla colpisce per efficienza: dalle minime dimensioni del download, alle modalità di fruizione, alla capacità di bloccare con successo ogni tipo di pop-up (durante la nostra prova non si è aperta nemmeno una finestra indesiderata). Non esiste una valida ragione per preferire Internet Explorer a Firefox.
Gli unici difetti in cui ci siamo imbattuti sono stati l’incapacità di visualizzare alcune immagini o di riconoscere immediatamente il “character encoding” di un sito, ovvero il pacchetto di caratteri della lingua di una pagina, quando questo usa font non alfabetici (un problema comune anche a Explorer, che comunque con Firefox si risolve con facilità). In conclusione, il programma è una sorta di “Mozilla semplificato”, pensato per chi non ha a disposizione connessioni veloci o non vuole browser “tentacolari”. Firefox strizza l’occhio all’utente comune senza dimenticare l’esperto: è personalizzabile nell’aspetto, espandibile, leggero e soprattutto non si lascia domare dalle briglie della pubblicità, che tra pop-up e spam ormai si trova più facilmente in Rete che nel “mondo reale”. Firefox è consigliato a tutti, vale davvero la pena di vincere la pigrizia del download e dell’installazione, considerando i grandi vantaggi che questo browser gratuito offre rispetto a quello della più grande software house del mondo.
Di Alberto Torgano, tratto da Vnunet.it
Inserito da Giuliano il 27 lug 2004 alle 18:27 nella categoria Senza categoria.
Una vulnerabilità presente in Mozilla e Firefox può consentire ad un sito malevolo di abusare dei certificati digitali appartenenti ad altri siti. L’exploit è stato già reso pubblico
Uno studente universitario inglese, Emmanouel Kellinis, ha scoperto l’esistenza di una vulnerabilità in Mozilla e Firefox sfruttabile da un sito malevolo per “rubare” il certificato SSL di un qualsiasi sito Web ed utilizzarlo come fosse proprio: in questo modo una risorsa on-line potrebbe tentare di ingannare l’utente e fargli credere di trovarsi di fronte ad un altro sito o ad una pagina Web sicura.
“E’ possibile far caricare al browser un certificato valido preso da un sito Web fidato utilizzando in un certo modo la funzione onunload”, si legge in un advisory pubblicato dalla società di sicurezza Secunia. “Il problema sta nel fatto che Mozilla carica un certificato da un sito Web fidato e mostra l’icona del lucchetto chiuso mentre visualizza il contenuto di un sito malevolo”.
L’esistenza della vulnerabilità è stata confermata in Mozilla Firefox 0.9.2 e in Mozilla 1.7.1, attualmente le più recenti release dei due celebri browser open source.
A differenza di Kellinis, che ha giudicato la pericolosità della falla elevata, Secunia l’ha definita di rischio moderato.
L’esperto di sicurezza inglese ha pubblicato anche un exploit, costituito da uno script di poche righe, che mostra quanto sia facile approfittare della debolezza.
Tratto da Punto Informatico
Inserito da Giuliano il 26 lug 2004 alle 23:27 nella categoria Senza categoria.
Dal 14 settembre sarà disponibile la nuova versione del browser open source di Mozilla Foundation, destinato a Windows, Linux a Mac Os X.
E’ in fase beta il nuovo browser elaborato da Mozilla Foundation, che ha annunciato la disponibilità del prodotto dal prossimo 14 settembre. Firefox potrà essere usato su tutti i maggiori sistemi operativi: Windows, MacOs e Linux. Indiscrezioni parlano di un browser molto valido, in grado di contrastare efficacemente lo strapotere di Internet Explorer.
Il nuovo browser open source sceglie un momento di lancio quanto mai vantaggioso, dato che proprio negli ultimi mesi, e settimane, il browser di Microsoft ha evidenziato diversi problemi di sicurezza. E nonostante le rassicurazione della società di Redmond, molti osservatori hanno consigliato agli utenti di usare alternative a Internet Explorer.
Con l’uscita di Firefox, la lotta diventa sicuramente più interessante.
Tratto da Vnunet.it
Inserito da Giuliano il 12 lug 2004 alle 23:40 nella categoria Senza categoria.
Explorer vede scendere la propria penetrazione nel settore browser dal 95.48% al 94.42%: un punto percentuale perso in un solo mese a causa di patch in ritardo, falle che emergono e una concorrenza sempre più agguerrita.
Arriva da WebSideStory una statistica che riassume in sè tutto un periodo ed una situazione, fotografando nella realtà una evoluzione che era ormai nell'aria: Internet Explorer, dopo anni di crescita e di completa egemonia, vede scricchiolare il proprio dominio registrando un calo degli indici di diffusione nei confronti della concorrenza. Un calo, va sottolineato, tanto piccolo quanto simbolico.
Secondo l'indagine Explorer scende dal 95.48% al 94.42%, dunque un punto percentuale perso in un solo mese. Ma non è certo stato un mese come gli altri: Explorer ha dovuto patire la scoperta di alcune falle prive di patch, ha subito le ammonizioni del CERT (U.S. Computer Emergency Readiness Team, centro che oltretutto ha sconsigliato all'utenza di perseguire nell'uso del browser Microsoft), ha dovuto ammettere le proprie difficoltà. Il dato rispecchia questa situazione e rappresenta un momento importante nella sfida tra i due poli: Microsoft contro open source.
È proprio l'open source a giovarsi delle difficoltà dell'azienda di Bill Gates. Mentre Explorer perde colpi, infatti, la concorrenza si divide il trend di crescita con risultati favorevoli che premiano soprattutto il polo Mozilla. Firefox, il browser del gruppo rappresentato dal draghetto rosso, porta infatti la propria penetrazione sul mercato dal 3.21% di Giugno all'attuale 4.05%.
Tale crescita, quantificabile in un +26%, giunge in contemporanea alla segnalazione di una falla però immediatamente risolta. Il mercato ha evidentemente apprezzato tale sollecita risoluzione del tutto: Mozilla registra ad oggi una media di 200.000 download giornalieri ed estende così la propria base d'utenza verso numeri sempre più importanti nell'ottica di una concorrenza ad un browser (Explorer) che attende Longhorn per rilanciare la propria avventura.
Di Giacomo Dotta, tratto da WebNews.HTML.it
Inserito da Giuliano il 12 lug 2004 alle 23:36 nella categoria Senza categoria.
Mozilla Foundation ha corretto una vulnerabilità che si annidava nelle versioni per Windows di Mozilla e Firefox, due browser la cui popolarità sta crescendo alla luce dei recenti problemi di sicurezza di IE.
È ancora tempo di patch per gli utenti del Web. Questa volta il cerotto va applicato alle versioni per Windows 2000 e XP dei software di punta della Mozilla Foundation.
Rivelato lo scorso mercoledì sulla mailing-list di sicurezza Full Disclosure, il problema è stato corretto il giorno seguente attraverso il rilascio di un piccolo fix e di nuove versioni aggiornate dei browser Mozilla e Firefox e del client e-mail Thunderbird.
La vulnerabilità, descritta qui, riguarda il modo in cui i software open source di Mozilla.org gestiscono i link contenenti il suffisso “shell:”. Tali link possono essere utilizzati da un aggressore per eseguire programmi o lanciare attacchi di denial of service: se il file richiamato dal link non viene trovato, il browser apre una nuova finestra fino a causare il crash dell’intero sistema.
“Il protocollo shell permette ad alcune applicazioni esterne di attivare Esplora Risorse di Windows (explorer.exe) usando il protocollo stesso per lanciare qualsiasi tipo di file associato ad un eseguibile in locale sul proprio computer”, è stato riportato sul sito MozillaItalia.org. “Questo aggiornamento è necessario solo per gli utenti Windows 2000 e XP che utilizzano Mozilla Firefox (versioni inferiori a 0.9.2), Mozilla Thunderbird (versioni inferiori a 0.7.2) o Mozilla Suite (versioni inferiori a 1.7.1)”.
La società di sicurezza Secunia ha spiegato che la falla potrebbe essere utilizzata in congiunzione con le vulnerabilità presenti in altre applicazioni di Windows per eseguire del codice malevolo. La gravità del problema, giudicata “moderata”, sarebbe tuttavia mitigata dall’impossibilità, per l’aggressore, di passare dei parametri ad un programma lanciato attraverso il protocollo shell.
Internet Explorer, secondo gli esperti, è esente dal problema: il browser di Microsoft chiede infatti conferma all’utente prima di eseguire un’applicazione evocata da un link “shell:”. Secunia ha tuttavia fatto notare come anche in IE, nel passato, siano emerse vulnerabilità legate al protocollo shell.
“La funzione shell: è di per sé insicura e dovrebbe essere disponibile solo per un ristretto numero di siti fidati o, ancor meglio, resa del tutto inaccessibile da un browser”, ha affermato Secunia in un comunicato.
Nelle scorse settimane, in seguito all’emergere di vari problemi di sicurezza di IE, il CERT ha raccomandato agli utenti di usare un browser alternativo a quello integrato in Windows: Mozilla e Firefox sono considerati, insieme ad Opera, i più validi contendenti di IE. L’emergere di questo bug mostrerebbe, secondo alcuni, che sebbene certi software possano essere considerati più sicuri di altri, nessuno di essi è perfetto: per tale ragione, il SANS Institute continua a raccomandare agli utenti di tenere aggiornati i propri sistemi con le ultime patch di sicurezza e firme antivirali indipendentemente da quale software e piattaforma utilizzino.
Proprio con l’obiettivo di semplificare l’aggiornamento dei propri software, la Mozilla Foundation ha annunciato che le prossime versioni di Firefox integreranno una funzione per la notifica automatica degli update.
I link alla patch e alle nuove versioni di Mozilla, Firefox e Thunderbird sono disponibili qui.
Stando ai dati pubblicati dall’osservatorio di WebSideStory, durante lo scorso mese la quota di mercato detenuta da IE si è ridotta dell’1%, il calo più vistoso da quando la società ha iniziato a monitorare il mercato dei browser nel tardo 1999.
“È la prima volta che registriamo una sostenuta tendenza verso il basso di IE”, ha affermato Geoff Johnston, un analista di WebSideStory. “È da circa un mese che assistiamo a questo trend, che si è ormai fatto regolare, ed ogni giorno registriamo una piccola variazione verso il basso”.
Gli analisti sostengono che questo è il risultato della campagna d’informazione che, come detto, ha visto il CERT ed altri organismi di sicurezza raccomandare agli utenti di usare software alternativi ad IE per meglio proteggersi dalle nuove minacce.
Il trend segnalato da WebSideStory, che ha portato la quota di IE dal 95,7% di inizio giugno al 94,7% di inizio luglio, sembra confermato dai dati forniti da Mozilla.org: secondo la fondazione open source, infatti, il numero di download di Firefox è sensibilmente cresciuto rispetto all’inizio dell’anno, ed il 28 giugno, in occasione della divulgazione dell’ultimo problema di sicurezza di IE, il volume giornaliero è addirittura raddoppiato.
Secondo WebSideStory, i browser della famiglia Netscape e Mozilla attualmente rappresentano circa il 4% del mercato, una quota che nell’ultimo mese è cresciuta del 26%.
Si riapre la guerra dei browser?
Fonte Punto Informatico
Pagina successiva »
