Sicurezza

Articoli archiviati in questa categoria

Mozilla verifica i plugin di tutti i browser

Inserito da Giuliano il 24 mar 2010 alle 20:22 nella categoria Mozilla , plugincheck , Sicurezza.

Il tool Plugin Check di Mozilla, che controlla lo stato di aggiornamento delle estensioni, è ora compatibile con tutti i principali browser sulla piazza. Ma per il momento è disponibile solo in una versione preliminare

Le più recenti versioni di Firefox hanno introdotto un meccanismo che verifica la versione dei plugin installati e, nel caso non risultino aggiornati, invita l’utente a scaricare la release più recente. Mozilla sta ora estendendo questo controllo anche ai browser di terze parti per mezzo di una nuova versione di Plugin Check, accessibile nella sua veste cross-browser da qui.

I browser supportati dal rinnovato Plugin Check, oltre naturalmente a Firefox, sono Opera, Safari, Chrome e Internet Explorer 7 e 8. Il supporto al browser di Microsoft è però limitato ad un piccolo numero di add-on.

Plugin Check elenca tutti i plugin installati e, accanto ad ognuno di essi, ne riporta lo stato di aggiornamento: la voce Update significa che esiste una versione più aggiornata del plugin, e cliccando sul relativo pulsante si viene rediretti alla pagina di download; la voce Up to Date significa invece che il plugin è aggiornato all’ultima versione disponibile. Se lo stato di un plugin è sconosciuto, perché magari non fornisce al browser le informazioni sulla versione, accanto ad esso appare il pulsante Research: se premuto viene effettuata una ricerca su Google usando come termine chiave il nome del plugin. Quest’ultima soluzione, un po’ grossolana, potrebbe risultare di scarso aiuto per gli utenti più inesperti, che sono poi il principale target di Plugin Check.

Nel caso del test effettuato in redazione il tool di Mozilla ha riconosciuto la versione dei plugin Silverlight, Java, QuickTime, ShockWave Flash, DivX Web Player e, in IE, Windows Media Player pluginDynamic Link Library. Di molti altri componenti aggiuntivi, come DjVu, Java Development Toolkit, Windows Media Player, iTunes Application Detector, EA Battlefield Heroes Updater e O3D, il tool non è invece stato in grado di verificare lo stato di aggiornamento.

Plugin Check non controlla soltanto la versione dei plugin, ma anche quella del browser, avvisando l’utente se sono disponibili release più aggiornate. Tale funzione, resa in gran parte superflua dai meccanismi di aggiornamento automatico ormai integrati in tutti i principali browser, non sembra ancora molto affidabile: sebbene sul PC di test vi sia installata l’ultima release di Opera, la 10.51, Plugin Check ha segnalato la disponibilità di una nuova versione del software norvegese.

Come già detto in passato, l’idea alla base di Plugin Check è quella di mostrare agli utenti quali plugin potrebbero contenere bug e vulnerabilità: versioni non aggiornate di questi componenti potrebbero minare la stabilità e la sicurezza di un browser, anche del più aggiornato. Il prossimo passo di Mozilla sarà quello di isolare il processo in cui girano i plugin dal resto del browser, in modo che se un plugin va in crash il browser resti in piedi. Una soluzione analoga è già stata implementata da Google in Chrome.

Fonte: Punto Informatico

Permalink | Commenta
 

Mozilla blocca plugin Microsoft poichè vulnerabile

Inserito da Giuliano il 18 ott 2009 alle 11:31 nella categoria Componenti aggiuntivi , Estensioni , Firefox , Microsoft , Plugin , Sicurezza , Vulnerabilità.

Gli sviluppatori di Mozilla hanno disattivato il plugin Firefox che Microsoft distribuiva con Windows Update dicendo che presenta un rischio di sicurezza. L’annuncio viene dato in persona anche da Mike Shaver (Vice Presidente Engineering).

Gli sviluppatori di Mozilla hanno bloccato un plugin Firefox, il .NET Framework Assistant add-on poichè rappresentava un rischio per la sicurezza, era stato “inviato” via Windows Update agli inizi di quest’anno. Microsoft forniva l’addon come componente del Net Framework lo scorso Febbraio, numerosi sono stati gli utenti Firefox ad essersi lamentati inizialmente per le enorme difficoltà nella sua rimozione. (Vedi al riguardo: Remove the Microsoft .NET Framework Assistant (ClickOnce) Firefox Extension).

Ebbene, Microsoft avvisava già questo martedi’ che tutti gli utenti Firefox che non avessero applicato una determinata Patch a Windows sarebbero stati a rischio infezione di tipo “browse-and-get-owned attack. Vista l’apparente difficoltà nell’appliacare tale patch, gli sviluppatori Firefox hanno pensato di effettuare un blocco di tale estensione da Remoto, tramite il meccanismo di Blocklisting (Vedi al riguardo: Add-ons Blocklist. Si tratta di una misura cautelare, volta alla sicurezza degli utenti ma, ripetiamo che gli utenti con la patch “MS09-054 IE” rilasciata Martedi’ possono stare al sicuro, è ciò che ha confermato Microsoft. L’azione di Mozilla è quindi a scopo cautelare.

Ecco cosa ha detto al riguardo Mike Shaver:

Because of the difficulties some users have had entirely removing the add-on, and because of the severity of the risk it represents if not disabled, we contacted Microsoft today to indicate that we were looking to disable the extension and plugin for all users via our blocklisting mechanism,”"Microsoft agreed with the plan, and we put the blocklist entry live immediately.

Plugins obsoleti e non più aggiornati (mantenuti) sono un ulteriore problema per gli utenti Firefox, ecco perchè è già attiva una blacklist, visitabile all’indirizzo http://www.mozilla.com/en-US/blocklist/ dove notiamo anche il blocco preventivo di Apple QuickTime Plugin, v7.1.*, AVG SafeSearch, versioni minori della 8.0 oppure Crawler Toolbar, per quest’ultima si applica il blocco visto l’alto numero di crash.

Fonte: Italia SW

Permalink | Commenta
 

Firefox vigila sui plugin

Inserito da Giuliano il 9 ott 2009 alle 8:31 nella categoria Firefox , Plugin , Sicurezza.

Estendendo il controllo per Flash Player introdotto dalle più recenti versioni di Firefox, l’imminente Firefox 3.6 sarà in grado di verificare lo stato di aggiornamento di tutti i principali plugin. Una funzione già collaudabile su Web.

Le ultime incarnazioni di Firefox 3.x hanno introdotto un meccanismo che verifica la versione di Flash Player installata nel sistema e, nel caso non risulti aggiornata, invita l’utente a scaricare la release più recente. Mozilla sta ora estendendo questo controllo a un maggior numero di plugin, così da fornire all’utente l’opportunità di difendersi da un più elevato numero di potenziali attacchi.

“Vecchie versioni dei plugin possono causare crash e altri problemi di stabilità, e possono esporre a gravi rischi per la sicurezza”, ha commentato in questo post Blair McBride, sviluppatore di Mozilla.

Il controllo esteso dei plugin farà parte del prossimo Firefox 3.6, di cui Mozilla ha pianificato il rilascio di una beta il prossimo 14 ottobre. È però già possibile testare tale funzionalità con le attuali versioni di Firefox semplicemente visitando la pagina web Plugin Check, che oltre a Flash Player è in grado di verificare la versione di add-on come Shockwave, Java SE, DivX Web Player e QuickTime. Mozilla avvisa però che si tratta di un servizio ancora sperimentale, tanto è vero che l’indirizzo è intenzionalmente associato a un certificato SSL non valido, e per aprirlo è necessario creare un’eccezione in Firefox.

Per ogni plugin rilevato, la pagina di Mozilla informa l’utente circa lo stato di aggiornamento di quel componente e fornisce un pulsante con il link alla pagina del relativo sviluppatore. Mozilla segnala altresì la presenza, in un certo plugin, di vulnerabilità note, specificando se queste siano già state corrette oppure no: nel primo caso viene visualizzato il pulsante Update Now (aggiorna adesso), nel secondo caso Disable Now (disattiva adesso).

Fonte: Punto Informatico

Permalink | 1 Commento
 

Firefox dichiara guerra agli attacchi XSS

Inserito da Giuliano il 2 ott 2009 alle 14:27 nella categoria Content Security Policy , Firefox , Sicurezza , XSS.

Il team di sviluppo di Firefox sta lavorando a una nuova soluzione per utilizzare le specifiche Content Security Policy all’interno del celebre browser. Tale soluzione potrebbe rendere l’applicativo più sicuro e ridurre i fenomeni di cross site scripting

Il team di sviluppo di Mozilla continua a lavorare alacremente intorno al browser Firefox per aumentarne il grado di sicurezza. La celebre Fondazione ha da poco rilasciato le versioni in anteprima dell’applicativo contenenti alcune implementazioni tese a ridurre i rischi legati agli attacchi informatici effettuati via Web. Le nuove soluzioni sfruttano la specifica Content Security Policy (CSP) concepita per arginare gli effetti degli attacchi tramite cross site scripting (XSS).

«Come vi avevamo anticipato in precedenza, nel corso degli ultimi mesi ci siamo dati da fare per rendere la specifica Content Security Policy in grado di funzionare con il codice di Firefox. Siamo lieti di annunciarvi che il lavoro e pressoché terminato, e abbiamo pubblicato alcune build in anteprima per voi per farvele provare» si legge in un post da poco pubblicato da Brandon Sterne sul Mozilla Security Blog. La nuova soluzione dovrebbe rendere Firefox più sicuro grazie all’adozione di alcuni importanti accorgimenti per evitare gli attacchi XSS, generalmente perpetrati per sottrarre dati all’insaputa degli utenti o per diffondere nuovo malware.

CSP consente ai webmaster e ai creatori degli spazi online di inserire particolari restrizioni, utili per esempio per determinare come un sito web esterno possa accedere e relazionarsi con una data pagina online. Ciò permette la creazione di apposite liste nelle quali indicare quali script possano essere eseguiti e da quali fonti su uno specifico sito web, evitando così che il browser possa eseguire script provenienti da fonti poco affidabili o inseriti nelle pagine da un utente malintenzianto.

«Siamo entusiasti di aver ricevuto così tanti riscontri dai distributori di altri browser, dagli amministratori dei siti web e dagli esperti di sicurezza online e siamo fieri del progetto nato da questa discussione. Desideriamo incoraggiare tutti i server administrator e gli sviluppatori di applicazioni per la sicurezza sul web coinvolti nel progetto a prelevare una build in anteprima di Firefox, così da poterci aiutare nella fase di test delle nuove funzionalità» scrive Sterne nel post, indirizzando un chiaro appello alla comunità di sviluppatori ed esperti di sicurezza per ottenere rapidamente nuovi riscontri sulle ultime implementazioni realizzate sul browser.

Nonostante il lavoro di sviluppo proceda speditamente, occorrerà ancora del tempo prima che il supporto di CSP possa fare la propria comparsa nelle versioni per il pubblico di Firefox. L’applicativo da poco rilasciato in prova è ancora un prototipo e presenta diversi malfunzionamenti da correggere. Una volta terminata la fase di sviluppo, la nuova funzione potrebbe fornire agli utenti un ulteriore valore aggiunto per passare a Firefox, una condizione indispensabile per consentire a Mozilla di aumentare ancora la propria fetta di mercato nell’agguerrito comparto dei browser.

Fonte WebNews

Permalink | Commenta
 

Nuova falla in Firefox 3.5. Mozilla: non è grave

Inserito da Giuliano il 21 lug 2009 alle 8:02 nella categoria Firefox , Sicurezza , Vulnerabilità.

A meno di 48 ore di distanza dal rilascio, la scorsa settimana, di Firefox 3.5.1, due esperti di sicurezza hanno scoperto una nuova vulnerabilità nell’ultima versione del celebre browser open source. Sebbene della falla esista già un exploit dimostrativo, Mozilla ha sottolineato che questa non può essere sfruttata per eseguire del codice a distanza.

“Alcune testate giornalistiche e software house dedicate alla sicurezza hanno erroneamente riportato che questo è un bug che può essere sfruttato (da un aggressore, NdR). Le nostre analisi indicano che non è così, ed infatti non abbiamo visto alcun esempio di codice d’attacco in giro”, ha commentato in questo post Mike Shaver, dirigente di Mozilla. Shaver ha poi tuttavia ammesso, in un aggiornamento al proprio post, che sotto Windows l’attuale exploit proof of concept causa il crash di Firefox 3.5.x, “almeno per certi utenti”.

Dopo la segnalazione di Shaver, sia il National Vulnerability Database che SecurityFocus hanno precisato nei rispettivi advisory che la vulnerabilità può essere utilizzata per attacchi di denial-of-service ma non per l’esecuzione di codice a distanza. Il problema appare dunque meno grave rispetto a quelli corretti la scorsa settimana in Firefox 3.5.0: ciò consentirà probabilmente a Mozilla di sviluppare una patch con meno urgenza.

Shaver ha infine spiegato che il bug interessa anche le versioni Linux e Mac di Firefox 3.5.x, ma in ciascuna piattaforma il problema si verifica all’interno di un componente diverso: la libreria di sistema ATSUI in Mac OS X e nelle librerie pango, glib o libc in Linux. Il livello di gravità, secondo il dirigente, rimarrebbe comunque invariato per tutti i sistemi operativi.

All’incirca nelle stesse ore in cui sono emerse le prime notizie relative alla falla di Firefox 3.5.1, Google ha rilasciato un aggiornamento di sicurezza per la versione stabile di Chrome, la 2.0. Entrambi i bug interessano l’application framework open source WebKit alla base di Chrome, e secondo Google possono essere sfruttati da un aggressore per eseguire del codice a distanza. Maggiori dettagli si trovano in questo advisory.

Fonte: Punto Informatico

Permalink | Commenta
 

Firefox in pericolo, previsto un update urgente

Inserito da Giuliano il 26 mar 2009 alle 15:46 nella categoria Bug , Firefox , Sicurezza.

Firefox soffre di una grave vulnerabilità il cui codice di exploit è già stato portato online dal ricercatore Guido Landi. Il pericolo è grave e pertanto Mozilla ha già annunciato di essere al lavoro per una release 3.0.8 prevista tra il 30/03 e lo 01/04

Mozilla Firefox sarà presto aggiornato ad una nuova versione. L’update è reso improvvisamente necessario in seguito alla pubblicazione di un codice di exploit che mette il browser a rischio di attacco zero-day, senza cioé che vi sia alcuna patch risolutiva a disposizione per mettere al riparo l’utenza da qualsivoglia tipo di pericolo correlato.

Il codice è stato portato online dal ricercatore Guido Landi: la presenza di un vettore di attacco ha reso immediatamente urgente la situazione, ancor più se si considera il fatto che l’exploit va a colpire una vulnerabilità di grave rilevanza tramite la quale poter installare software sul sistema colpito. Vulnerabile anche l’ultima versione 3.0.7 da breve rilasciata. La conferma relativa alla gravità del momento giungerebbe direttamente da Lucas Adamski, Director of Security Engineering di casa Mozilla.

La descrizione del problema ha già trovato codifica su Bugzilla con codice 485217. Viene confermato, soprattutto, il fatto che il browser bacato può diventare veicolo d’attacco anche su piattaforme Mac OS e Linux, estendendo così il bacino delle vittime potenziali all’intero range dei navigatori utilizzanti il browser Mozilla. Secondo quanto diramato tramite le note di release, la prossima versione del browser sarà la 3.0.8 (trattasi del terzo update di Firefox nel corso del 2009) ed è ad oggi messa in programmazione approssimativamente nel lasso di tempo tra il 30 marzo ed il 1 aprile. Verrà portato online come aggiornamento ad «alta priorità».

Non è un momento particolarmente brillante per Firefox. La release 3.1 è stata più volte posticipata, tanto che ormai è dato per scontato un salto a pié pari verso la 3.5. L’upgrade sarà più corposo, ma nel contempo ne viene ulteriormente posticipato l’approdo online per rifinire al meglio il codice in risposta alle pressioni provenienti dalla concorrenza. I browser escono inoltre particolarmente ridimensionati dal recente contest che ha evidenziato quanto relativa possa essere la sicurezza di un software e quanto importante sia, al contrario, la capacità di risoluzione rapida dei problemi che inevitabilmente emergono nel tempo.

Nelle stesse ore in cui Firefox verrà aggiornato alla 3.0.8, Conficker lancerà il proprio attacco del 1 aprile. In questo caso trattasi di un pericolo del tutto evitabile, poiché la patch risolutiva è disponibile ormai da tempo. Ai bug del software, però, occorre unire anche i “bug” nella capacità di protezione che l’utente stesso possiede, il tutto in un mix deleterio che rende onore alla quotidiana battaglia contro malware di ogni tipo.

Fonte: WebNews

Permalink | Commenta
 

Pagina successiva »