firefox è sicuro o no?

[motan]

Letta oggi: www.html.it

Internet Explorer è da anni il browser più colpito da problemi di sicurezza vari, con pericolosità degli eventuali attacchi moltiplicata dall'enorme rispondenza di pubblico che il navigatore Microsoft ancora raccoglie. Negli ultimi giorni il problema ha subito una improvvisa impennata con alcuni bug emersi nel browser Microsoft senza ottenere immediata soluzione. Da una conferenza hacker, però, giunge un monito: se IE non è sicuro, la concorrenza non è troppo migliore ed i pericoli sono nella fattispecie altrettanto gravi.
La spiazzante analisi giunge da Mischa Spiegelmock (gruppo SixApart) e Andrew Wbeelsoi i quali alla ToorCon hacker conference hanno spiegato come l'implementazione di JavaScript in Firefox sia qualcosa di paradossalmente disordinato tanto da rendere addirittura impossibile l'eventualità di una patch in grado di risolvere il problema emerso. È infatti proprio a livello di JavaScript che è stata rilevata la vulnerabilità: nei laboratori Mozilla sarebbero in corso le indagini del caso e non si esclude la possibilità che il codice di exploit sia derivato da un vecchio attacco oggi riciclato sotto nuova forma.
Mischa Spiegelmock ha punzecchiato ulteriormente la Mozilla Foundation spiegando di avere in tasca altre 30 vulnerabilità del browser con la volpe infuocata, ma di non avere intenzione di scoprire le proprie carte. Peccato, sentenzia il responsabile Mozilla Jesse Ruderman per ZDNet, che Spiegelmock si perda i 500 dollari promessi dal gruppo per la scoperta di ogni qualsivoglia vunerabilità nel navigatore.
Le piaghe aperte nei due browser più diffusi al mondo non possono che rendere tribolata la navigazione attuale degli utenti: il consiglio è quello di attenersi alle versioni distribuite, di porre attenzione agli aggiornamenti e di mantenere alto il livello di informazione personale sui problemi di sicurezza. Per quanto concernente le vulnerabilità in Firefox non sono ancora state registrate conferme ufficiali da parte del gruppo ed i tempi ipotizzati per la risoluzione di un bug come quello descritto da Mischa Spiegelmock sarebbero particolarmente lunghi, propiziando così nel frattempo eventuali attacchi in grado di colpire tramite codice JavaScript appositamente sviluppato.

[ago]

Non e' detto, in passato ci sono stati parecchi falsi allarmi. Controlleranno presto, infatti probabilmente lo stanno gia' testando. Inoltre una volta utilizzati gli exploits, gli stessi diverrebbero noti e patchati in breve tempo. In ogni caso basta installare l'estensione NoScript e si puo' stare tranquilli.

[ago]

ipse dixit

Non e' detto, in passato ci sono stati parecchi falsi allarmi.

News Report of 03.10.2006 150

Claimed security hole in Firefox "just a joke"

The allegedly critical hole reported yesterday in Firefox's JavaScript implementation has turned out, not surprisingly, to be a hoax. Mischa Spiegelmock, who made the claim at the Toorcon hacker conference, told Mozilla's security chief Window Snyder, "The main purpose of our talk was to be humorous." While it is possible to create a stack overflow, the only result he has been able to produce is a browser crash. Neither he, nor anyone else, has managed to execute code via this hole. Spiegelmock claims to know nothing about the other 30 holes reported in the media. The Mozilla team nevertheless plans to look into the matter in order to detect and remedy any flaws.

http://www.heise-security.co.uk/news/78970

[gladiator82ct]

troppo facile dire che si conoscono 30 vulnerabilità, bisogna dimostarlo...

[Oli]

Nessuno ha detto che Firefox "è sicuro". Infatti gira sempre su "roba" Microsoft tipo WinXP.

Semplicemente si è detto che spesso chi scrive virus lo fa approfittando di bug di cui IE è ricco.

[ago]

troppo facile dire che si conoscono 30 vulnerabilità, bisogna dimostarlo...

Infatti era una bufala, vedere articolo sopra in inglese