BlogZilla

Tre nuove versioni per coprire i buchi scoperti nei giorni scorsi. Si chiude l’estate nera dei browser?

Mozilla Foundation ha dunque rilasciato i tre attesi aggiornamenti per Mozilla Firefox, Mozilla Thunderbird e Mozilla Application Suite. Si tratta di tre aggiornamenti che risolvono altrettanti bug di sicurezza: il primo rende possibile importare un falso certificato Ssl, che può portare a un blocco di sistema; il secondo è relativo a una libreria (libpng) per la visualizzazione di immagini e icone; il terzo all’interfaccia utente, che può essere modificata in maniera arbitraria (vedi screenshot). Mozilla Firefox raggiunge così la versione 0.9.3, Mozilla Thundebird la versione 0.7.3 e Mozilla Application Suite la versione 1.7.2.

Si aggiunge così un nuovo capitolo all’estate nera dei browser: Microsoft, dopo più di un mese in cui gli utenti di Explorer hanno di fatto usato il prodotto in condizioni insicure, ha rilasciato una patch fuori programma denominata MS04-025.

Mozilla (e tutti i prodotti della famiglia, ovvero i browser basati sul motore Gecko quali Galeon o Epiphany, specifici per Linux e Unix), dal proprio canto, non si è rivelato immune da problemi. Ma il responso del Cert , un’agenzia governativa statunitense che si occupa di sicurezza informatica, è chiaro: “Gli utenti Explorer dovrebbero considerare browser immuni all’attacco, quali Mozilla, Mozilla Firefox, Netscape e Opera. [...] Per chi vuole continuare a usare Explorer, Cert e Microsoft consigliano di portare le impostazioni di sicurezza a elevate, anche se ciò può inibire alcune funzioni di navigazione”. Una linea che ora risulta superata se si applica la patch MS04-025, ma che reca un messaggio forte: l’unità temporale richiesta in quel di Redmond per correggere vulnerabilità è il mese, mentre in progetti con mezzi ben inferiori a quelli di Microsoft (quali Mozilla) ci si attesta sulle ore o sui (pochi) giorni.

Di Guido Sintoni, tratto da MyTech.it

Oggi sono stati rilasciati dalla Fondazione Mozilla tre nuovi aggiornamenti per le appicazioni Mozilla Firefox, Mozilla Thunderbird e Mozilla Application suite.

Mozilla Firefox raggiunge la versione 0.9.3, Mozilla Thundebird la versione 0.7.3 e Mozilla Application Suite la versione 1.7.2.
Questi tre aggiornamenti sono stati necessari al fine di chiudere le ultime vulnerabilità recentemente segnalate da Secunia.

I language pack multipiattaforma attualmente disponibili nella nostra Sezione Download pur essendo stati preparati per Firefox 0.9, Thunderbird 0.7 e Mozilla Suite 1.7 sono applicabili senza problema alcuno alle nuove versioni appena rilasciate.

04/08/2004 Giuliano Masseroni – Varie

Il browser open source offre 500 dollari a chi ne scopre le falle
“Così correggeremo i bug prima che i pirati imparino a sfruttarli”
L’obiettivo è evitare i guai di sicurezza del software Microsoft

Fate a pezzi il nostro software. I danni li paghiamo noi. E’ l’appello lanciato dalla Mozilla Foundation, che ha deciso di offrire 500 dollari a tutti i programmatori che segnaleranno una falla nel suo browser open source.

La proposta, accolta con gioia dalla comunità hacker, è stata battezzata Mozilla Security Bug Bounty Program. Con questa mossa Mozilla, che secondo W3Schools detiene il 13 per cento del mercato dei browser, spera di soffocare sul nascere ogni dubbio sulla sicurezza del suo prodotto, evitando di essere coinvolto in attacchi come quelli che hanno gettato discredito sul suo principale concorrente, Microsoft Internet Explorer.

Il mese scorso, una vulnerabilità del software Microsoft era stata sfruttata da un gruppo di pirati russi per lanciare un attacco al Web su larga scala. Autorevoli analisti, tra i quali gli esperti del governo statunitense, avevano consigliato agli utenti di Internet Explorer di cambiare software per non correre rischi. In seguito a quella vicenda, Explorer aveva perso per la prima volta nella sua storia l’1 per cento di clienti a favore di Mozilla.

Gli sviluppatori del browser open source non hanno fatto in tempo a godersi il successo: pochi giorni dopo, anche in Mozilla sono state trovate delle falle alle quali non è ancora stato posto rimedio. Con il bug ormai di pubblico dominio e la patch non ancora disponibile, anche Mozilla rischia di diventare a breve obiettivo di attacchi informatici. Con l’offerta di una taglia di 500 dollari, la Mozilla Foundation vuole evitare che questo rischio si ripeta: d’ora in avanti, gli hacker che scoprono una vulnerabilità nel browser saranno incentivati a comunicarla alla casa madre, che avrà tutto il tempo di preparare un rimedio prima che sia resa pubblica.

“Gli eventi recenti hanno dimostrato la necessità di un’iniziativa di questo genere”, ha spiegato Mitchell Baker, presidente della Mozilla Foundation. “Il programma ci consentirà di fare fronte ai problemi di sicurezza ancora più velocemente, mettendoci nelle condizioni di arrivare prima dei pirati”. Il Mozilla Security Bug Bounty Program è stato finanziato, tra gli altri, da Michael Robertson, fondatore di Mp3.com e Lindows.

Tratto da Repubblica.it

500 dollari per chiunque trova un bug in Mozilla: a vantaggio del gruppo del draghetto rosso, che sfrutta la collaborazione dell’utenza per migliorare la propria sicurezza; a vantaggio dell’utenza, che viene se non altro ringraziata.

500 dollari sonanti, questa la taglia che Mozilla ha messo sui propri bug. Si tratta di una vera e propria taglia: chi scova un bug e lo presenta a Mozilla riceverà in cambio la cifra promessa, a tutto vantaggio sia dello scopritore, sia dell’azienda che sulla sicurezza del proprio prodotto intende ergere la propria battaglia contro Internet Explorer.

Il programma che definisce i dettagli dell’esperimento, ideato e portato avanti dalla collaborazione congiunta di Linspire e Mark Shuttleworth, è il Mozilla Security Bug Bounty Program. Ai fini della consegna della “taglia” la falla trovata dovrà essere giudicata “Critical” dalla stessa Mozilla Foundation. I primi 10 bug rientranti nel progetto saranno ricompensati grazie alla donazione di 5.000$ operata dalla fondazione Shuttleworth.

Le varie segnalazioni dovranno giungere all’apposita pagina predisposta sul sito Mozilla. I vertici del gruppo Mozilla sottolineano come la simbolica cifra di 500$ non abbia alcuna pretesa di diventare un incentivo a trasformare i propri utenti in debugger a tempo pieno: la cifra intende essere semplicemente un ringraziamento a chi, in pieno spirito open source, contribuisce allo sviluppo ed alla crescita dei dispositivi Mozilla, a partire dal browser fino al client mail Thunderbird.

Il Mozilla Security Bug Bounty Program sembra essere messo subito alla prova: in data odierna viene segnalata da Secunia con bollettino SA12204 una falla «Highly critical» che colpisce sia Mozilla che Netscape. La falla, la cui scoperta è firmata “zen-parse”, può essere colpita tramite apposito codice Javascript. La curiosità ora è lecita: “zen-parse” si sarà guadagnato 500$?

Di Giacomo Dotta, tratto da WebNews.HTML.it