BlogZilla

Lo scorso anno Firefox è stato colpito da un maggior numero di vulnerabilità rispetto ad Internet Explorer e agli altri suoi principali concorrenti, ma Mozilla è stata mediamente la più tempestiva a correggere le falle. A sostenerlo è la celebre società di sicurezza danese Secunia, che ha pubblicato questo rapporto (in PDF).

Secondo Secunia, di tutte le falle che nel 2008 hanno interessato i browser, 115 erano contenute nel codice di Firefox, 31 in quello di IE, 32 in Safari e 30 in Opera. Ne consegue che nel famoso browser open source è stato stuccato un numero di falle quasi quattro volte superiore a quello di IE, e maggiore di quello di IE, Opera e Safari messi insieme.

Come sempre accade quando si confrontano questi dati, però, c’è sempre da considerare che non tutte le vulnerabilità hanno lo stesso livello di serietà e la stessa portata. Andrebbe poi tenuto conto di quali, tra queste debolezze, siano state effettivamente sfruttate da cracker e virus writer.

Pur con tutte le considerazioni del caso, e ammesso che i conteggi di Secunia siano esatti, le proporzioni non rendono certo onore a Mozilla. Quest’ultima si riscatta tuttavia nella fase di correzione dei bug, dove il team di sviluppo del Panda Rosso sembra vantare il più elevato tempismo: 43 giorni di media contro i 110 giorni di Microsoft. Per arrivare a questi numeri Secunia ha preso in considerazione il tempo trascorso tra il momento in cui le falle sono diventate di pubblico dominio e il tempo in cui è stata rilasciata la patch al grande pubblico.

Proprio in questi giorni preoccupa e fa discutere una presunta vulnerabilità di Firefox, IE e potenzialmente anche di altri browser, sfruttata da truffatori per pubblicare false aste di eBay. “Presunta”, perché c’è chi ritiene si tratti in realtà di una funzionalità, sfruttata ora per fini illeciti.

Fonte: Punto Informatico

• 
• 
• 
• 
• 
• 

Il prossimo aggiornamento a Firefox 2, l’ultimo prima della definitiva cessazione del supporto a questa release, rimuoverà il famoso meccanismo antiphishing che accompagna Firefox 2 fin dal suo debutto, avvenuto nel 2006. A riportarlo è la stessa Mozilla, che a Computerworld ha spiegato di aver preso questa decisione per assecondare una richiesta di Google.

Firefox 2 utilizza infatti il filtro antiphishing SafeBrowsing di Google che, come noto, confronta gli URL dei siti che si sta visitando con alcune black list remote contenenti gli indirizzi di siti truffaldini o contenenti malware. Il problema, spiega Mozilla, nasce dal fatto che Firefox 2 utilizza una versione del protocollo di SafeBrowsing ormai vecchia, e non più supportata da Google: da qui la richiesta di quest’ultima di eliminare la funzione antiphishing dal prossimo aggiornamento del browser, il 2.0.0.19.

Firefox 2.0.0.19 sarà distribuito agli utenti verso la fine di questo mese, e prima di installarsi avviserà l’utente dell’assenza di un meccanismo antiphishing. In alternativa a SafeBrowsing, gli utenti ancora fedeli a Firefox 2.x potranno utilizzare plug-in gratuiti di terze parti, come la toolbar di Netcraft o l’estensione FirePhish.

Secondo l’ultimo rapporto di NetApplications, oggi il 25% degli utenti del panda rosso utilizza ancora Firefox 2. Mozilla raccomanda ai propri utenti di migrare alla nuova versione 3.0, che per altro è in grado di importare automaticamente tutti i dati e le configurazioni della precedente release.

Proprio in questi giorni Mozilla ha avviato una campagna natalizia che propone agli utenti di Firefox 2 "un regalo": l’aggiornamento gratuito a Firefox 3. Ovviamente il tono dell’offerta è ironico, visto che Firefox è da sempre gratuito, ma con questo espediente Mozilla spera di attrarre l’attenzione degli utenti più "distratti".

Verso la fine del mese Mozilla prevede di rilasciare un aggiornamento anche per Firefox 3 che correggerà alcune vulnerabilità di sicurezza.

Fonte: Punto Informatico

• 
• 
• 
• 
• 
• 

BitDefender lancia l’allarme: un malware tenta di rubare le credenziali finanziarie agli utenti Firefox camuffandosi da add-on legittimo. E’ il prezzo da pagare per la sempre crescente diffusione del browser?

Povero Firefox! Il sempre più diffuso browser Web sembra pagare il prezzo della propria notorietà sotto forma di un malware, apparentemente ben disegnato, che lo prende di mira risparmiando a mo’ di legge del contrappasso il malcapitato InternetExplorer.

E’ stata BitDefender a scoprire Trojan.PWS.ChromeInject.A. Il nome è sicuramente lungo, ma sufficientemente esplicativo: il malware si annida nella cartella degli add-on di Firefox, e viene eseguito all’avvio del browser. Uno script JavaScript identifica più di un centinaio di servizi di Internetbanking, cercando di carpire attraverso un cavallo di Troia le possibili credenziali degli utenti. Tra i siti Web tracciati, spiccano Paypal e Bank of America, oltre a un buon numero di banche italiane e servizi finanziari: dalle Poste a Banca Intesa, da Credem a Cariparma, dalla Popolare di Sondrio a Banca Mediolanum e Fineco o Carige, sono in molti ad essere sotto tiro. Il comportamento del malware – che punta al password stealing, ovvero al furto delle password – giustifica l’acronimo PWS sopra citato.

L’opera viene completata con l’invio degli eventuali dati rubati a server ubicati in Russia. Il malware viene diffuso con attacchi di tipo drive-by download: gli utenti vengono indirizzati su siti Web maligni che forzano l’installazione del codice sfruttando exploit noti. Il malware si registra in Firefox fingendo di essere Greasemonkey, un add-on che serve ad aggiungere funzioni mediante script JavaScript alle pagine Web visualizzate con Firefox. Va detto, comunque, che ogni estensione di Firefox deve essere approvata esplicitamente prima di essere installata, il che dovrebbe frenare la diffusione su ampia scala del malware.

Non è la prima volta che gli add-on di Firefox sono soggetti ad attacchi: a maggio, il langpack vietnamita è stato sfruttato per diffondere pubblicità non richieste, e da allora Mozilla è solita analizzare periodicamente i propri repository ufficiali con scanner antivirus aggiornati. Cosa che, nel contesto specifico, dovrebbe mettere al riparo gli utenti Firefox da sgradite sorprese (e da prelievi indesiderati).

Fonte: MyTech.it

• 
• 
• 
• 
• 
• 

Con uno degli aggiornamenti di sicurezza più sostanziosi dell’anno, ieri Mozilla ha corretto circa una dozzina di vulnerabilità relative a Firefox 2 e 3. Gli advisory che interessano gli utenti di Firefox 3 sono nove, quattro dei quali classificati con il più elevato grado di rischio.

Gli esperti di sicurezza avvertono che le falle più serie potrebbero essere sfruttate da malintenzionati per eseguire codice da remoto e, nei casi peggiori, installare malware o prendere il pieno controllo di un PC vulnerabile. In particolare, il bug descritto qui, relativo al parsing del formato http-index, potrebbe essere innescato da un cracker per mezzo di un header malformato: se un utente apre una pagina web contenente tale header, Firefox va in crash e può causare l’esecuzione di codice maligno.

Una falla analoga è quella relativa all’nsFrameManager, anch’essa sfruttabile per crashare il browser ed eseguire del codice a distanza. Il bug relativo a XSS e JavaScript può invece essere utilizzato da un malintenzionato per elevare i propri privilegi. L’ultimo bollettino "critico", infine, descrive diverse vulnerabilità che possono portare al crash del browser o alla corruzione della memoria.

Firefox 2.0.0.18 risolve buona parte dei problemi di sicurezza corretti dalla versione 3.0.4 e qualche altro in più: qui le falle "critiche" sono infatti sei, e gli advisory undici. Mozilla Foundation consiglia a tutti gli utenti di Firefox 2 di passare quanto prima all’ultima versione del proprio browser.

Le nuove versioni di Firefox possono essere scaricate dai siti di Mozilla (.com, europe.org e italia.it) o attraverso la funzione di aggiornamento automatico integrata nel software.

Fonte: Punto Informatico

• 
• 
• 
• 
• 
• 

Mail ricevuta questa notte sul gruppo dev.planning

Shortly after releasing Firefox 3.0.2 our QA and Support teams began seeing reports of problems certain users were having with the Firefox Password Manager. This was being caused by non-ASCII data (in domains, logins or passwords) saved as something other than UTF-8 failing to convert back to Unicode (see bug 454708) which was a regression from a fix to make the Password Manager work on IDN sites with characters over U+0100 (see bug 451155).

Firefox 3.0.2 – rilasciato martedì 23 settembre – contiene una regressione che, in presenza di caratteri non UTF-8 nel database, impedisce l’accesso alle password salvate o la memorizzazione di nuove password. Gli elementi già salvati non sono persi, semplicemente il gestore password di Firefox non riesce ad accedervi.

Per ulteriori informazioni vi consiglio di leggere questo articolo su SUMO (complimenti a Underpass per la velocità con cui l’ha tradotto, al momento è l’unica traduzione disponibile).

La correzione è già stata inserita nel codice, all’inizio della prossima settimana (dopo il QA) dovrebbe essere rilasciata una versione 3.0.3 con il fix specifico per questo problema.

Fonte: pseudotecnico:blog

• 
• 
• 
• 
• 
• 

Mozilla è allo studio di un nuovo modello per misurare la sicurezza del software. Il modello si baserà su dati statistici riguardanti i bachi presenti nei programmi, la velocità con cui vengono rilasciate le patch per la correzione delle vulnerabilità, e il tempo che occorre per distribuire le patch ad una certa percentuale di utenti. Le metriche terranno inoltre conto del metodo di sviluppo del software e delle tecniche per rendere tale processo più orientato alla sicurezza.

Il progetto è sviluppato principalmente a uso interno e sarà impiegato sostanzialmente per avere a disposizione una base su cui misurare in maniera oggettiva la sicurezza del browser Firefox, prodotto di punta di casa Mozilla. Il modello permetterà anche di indirizzare meglio le fasi di sviluppo e di test, e misurerà inoltre l’esposizione degli utenti Firefox alle vulnerabilità.

Per l’occasione Mozilla ha deciso di lavorare a stretto contatto con Rich Mogull, ricercatore indipendente con diciassette anni di esperienza nel campo della sicurezza, che si è detto particolarmente entusiasta di partecipare al progetto. La collaborazione è iniziata già da alcuni mesi e ha prodotto come primo risultato un foglio di calcolo con alcune indicazioni sui dati da misurare. Al momento il contenuto del documento è abbastanza scarno ma Mozilla conta di raccogliere commenti e di utilizzarlo come base per ulteriori affinamenti.

Il progetto sarà sviluppato in maniera aperta a collaborazioni esterne e sarà liberamente utilizzabile anche per altri software. Window Snyder, capo del reparto sicurezza di Mozilla, spera che anche altre organizzazioni e società possano adattare la metrica alle loro esigenze ed applicarla ai propri prodotti. Snyder indica inoltre tra i fini del progetto lo sviluppo di un modello aperto che possa essere standardizzato ed esteso ad altro software.

Le intenzioni di Mozilla sembrano quindi andare ben oltre il semplice monitoraggio dello sviluppo del proprio browser Firefox, e potrebbero avere ripercussioni anche in ambito mediatico: già in passato infatti la stessa Snyder aveva puntato il dito contro le statistiche pubblicate da Microsoft che evidenziavano come Internet Explorer fosse il browser più sicuro, criticando la metrica usata da Redmond che si basava solo sulle patch rilasciate e non sulle vulnerabilità effettive del software (un software con molte vulnerabilità e senza alcuna patch sarebbe risultato estremamente sicuro). Il modello sviluppato da Mozilla dovrà comunque cercare un ampio consenso per potersi proporre come standard e non essere tacciato a sua volta di tirare l’acqua al proprio mulino.

Una versione preliminare del lavoro fin qui svolto è scaricabile sia in formato Microsoft Excel, sia in OpenDocument. Un modello simile, dedicato ai sistemi operativi e basato sul tempo di esposizione a vulnerabilità in attesa di correzioni, è stato presentato alcuni mesi fa alla conferenza mondiale sulla sicurezza Black Hat 2008.

Fonte: WebNews

• 
• 
• 
• 
• 
•