Leggete qui le scuse dell’ennesimo fenomeno in cerca di pubblicità; visto che siamo in periodo di dediche, questo post è dedicato a tutti i troll di Punto Informatico:

L’obiettivo del nostro talk era di risultare spiritosi. [sic!]

Durante il nostro talk abbiamo parlato dell’esistenza di una falla nota in Firefox in grado di generare uno stack overflow e terminare con l’esecuzione di codice. Il codice presentato non ottiene questo effetto e personalmente non sono riuscito ad eseguire codice nè conosco altre persone che ci siano riuscite.

Con il mio codice sono riuscito solo a causare un crash dell’applicazione ed un consumo eccessivo di risorse, non l’ho mai usato per prendere possesso di computer di altre persone nè per eseguire del codice.

Non sono a conoscenza di 30 nuove vulnerabilità in Firefox, nè ho mai fatto questa affermazione. Non conosco vulnerabilità aperte in Firefox. La persona che ha fatto il talk con me ha fatto questa affermazione e sinceramente non so se lui sia a conoscenza di queste falle oppure no.

Mi scuso con tutte le persone coinvolte, e spero di aver chiarito la cosa.

Sinceramente,
Mischa Spiegelmock.

Quello che doveva essere un exploit in grado di generare reti di pc zombie alla fine si è rivelato un semplice (per quanto fastidioso) DOS.

Sulla home page di Zio Budda si legge questa notizia:

A pochi giorni di distanza dalla 1.5.0.7, Mozilla rilascia in fretta e furia una nuova security release del browser di del panda rosso; a quanto afferma Secunia sembra che si tratti di una gravissima falla nelle XPI che permetterebbero ad un utente malintenzionato di acquisire facilmente l’accesso root in un sistema Linux, grazie a buffer overwlof. Una community pro-IE dichiara: “Il miglior browser opensource cade oggi su di una falla che distrugge il miglior os opensource, tutto dire!”.

Qualche precisazione:

• sugli ftp di Mozilla non c’è traccia di una release 1.5.0.8
• su Secunia non c’è traccia di questa segnalazione
• l’ultimo Security Advisor di Mozilla parla di bug risolti nella versione 1.5.0.7

A me sembra una notizia campata in aria (in alternativa il tizio che l’ha scritta è un genio incompreso); in entrambi i casi mi domando che senso abbia pubblicare una notizia del genere senza uno straccio di link. L’unica cosa che sono riuscito a trovare con Google è un PoC (Proof of Concept) per far andare in crash il browser (ma da qui ad assumere i privilegi di root ce ne passa…)

NOTA: leggere la nota in fondo all’articolo

Se non avete problemi con l’inglese date un’occhiata a questo articolo su CNet: il titolo è esplicativo, “Symantec: Mozilla browsers more vulnerable than IE”. Secondo un’analisi della Symantec i browser Mozilla sono meno sicuri di Internet Explorer: durante la prima metà del 2005 sono state scoperte 25 falle nei browser Mozilla (18 gravi) contro le 13 di Internet Explorer (8 gravi).

Non è tutto oro quello che luccica: come spiegato più avanti nello stesso articolo, Symantec si basa sulle falle confermate dalla casa produttrice. Cosa significa questo?

According to security monitoring company Secunia, there are 19 security issues that Microsoft still has to deal with for Internet Explorer, while there are only three for Firefox.

Secondo Secunia ci sono 19 falle di sicurezza aperte per il browser di casa Microsoft e solo 3 per Mozilla Firefox.

Da apprezzare anche l’amore di The Inquirer per Firefox & C: Mozzarella Foundation, Firebadger, Fireferret, Firepossum. Ce n’è anche per MS (il classico Internet Exploder) e per l’OS (Open Sauce).

Nota a margine: io sto dismettendo tutti i Norton Antivirus del parco clienti in favore di NOD32, e non certo per i pareri negativi di Symantec su Firefox 😉

NOTA: Vatti a fidare di The Inquirer

Quei rintronati di The Inquirer all’alba del 22 settembre 2006 hanno ritirato fuori un’analisi del 20 settembre 2005 e io ci sono cascato come una pera. La cosa bella è che ne avevo già parlato l’anno scorso (ed è per questo che mi sono reso conto dell’errore).

Morale della favola: per il futuro controlla con cura le fonti, questo articolo rimarrà a perenne monito 🙁

È ufficialmente disponibile per il download la versione beta2 di Firefox 2: trattandosi di una versione beta, l’utilizzo è consigliato solo ad utenti esperti e consapevoli delle possibili conseguenze (crash, perdite di segnalibri, estensioni non compatibili, ecc. ecc.); personalmente sto usando le nightly da qualche giorno e sono decisamente stabili.

Link per il download della beta2 in italiano: versione Windows, Mac, Linux.

Siete invitati a segnalare eventuali errori di localizzazione nell’apposita discussione sul forum di Mozilla Italia 😉

Sono in corso piccoli ritocchi al look del prossimo Firefox 2.0; per apprezzare il nuovo tema dovete scaricare le ultime nightly (operazione consigliata SOLO ad utenti esperti).

Se non l’avete già fatto, date un’occhiata al sito dell’Associazione Italiana Supporto e Traduzione Mozilla e al relativo forum: entrambi sfoggiano il nuovo logo e nuove favicon.