Sicurezza informatica Firefox v 3.6.x : Secunia scopre un bug altamente critico

[Goofy]

Secunia

E’ stata Secunia a scoprire il bug, tra l’altro classificato dalla società di sicurezza come Highly Ciritical, ossia molto pericoloso, in quanto permette l’esecuzione di codice arbitrario.


Mozilla molto probabilmente sarà già al lavoro per rilasciare la patch, ma fin quando non sarà disponibile, fate attenzione a visitare solo siti di cui vi fidate e non cliccare su nessun link sospetto.

la notizia solo per avvisare chi usa questo browser ad essere + cauti del solito...in attesa della nuova versione

 

[Fiber]

Secunia



la notizia solo per avvisare chi usa questo browser ad essere + cauti del solito...in attesa della nuova versione

Che tu sappia Secunia lo ha comunicato agli Hacker facendosi pagare sul mercato 0-Day in nero per far diffondere sul Web il codice exploit corrompendo i siti ??

ma per chi usa ancora Opera 9 ( tantissimi) come siamo messi a Vulnerabilita' aperte??

 

[Goofy]

non lo so

e nessuno lo sa

nel dubbio dico semplicemente a chi usa il buon FF di stare un pò + attenti del solito

 

[Goofy]

altre info

Gli esperti di Secunia hanno classificato il problema Highly Critical, penultimo scalino sul livello di guardia. Ad impedire di raggiungere il gradino più alto, Extremely Critical, parrebbe esservi solamente il fatto che l'exploit non è ancora stato distribuito pubblicamente: Immunity Inc. ha infatti inserito il codice all'interno del pacchetto VulnDisco 9.0, uno strumento commercializzato dall'azienda come addendum alla suite Immunity Canvas indirizzata ai professionisti del settore.

Pare comunque altamente probabile che, a questo punto, sia solo questione di giorni prima che qualche cracker riesca ad analizzare il funzionamento del software realizzato da Legerov e pubblicare le proprio scoperte su Internet, gettando così le basi per l'arrivo di un exploit pubblicamente disponibile.

 

[Fiber]

non lo so

e nessuno lo sa

nel dubbio dico semplicemente a chi usa il buon FF di stare un pò + attenti del solito

ho aggiunto al post sopra su Opera

 

[Goofy]

dacci tu notizie su Opera...così come io le do su FF

e comunque stiamo parlando di FF

non andiamo ot

nessuno ha menzionato Opera

grazie

 

[Fiber]

dacci tu notizie su Opera...così come io le do su FF

e comunque stiamo parlando di FF

non andiamo ot

nessuno ha menzionato Opera

grazie

e' un'info che ti chiedo

 

[Goofy]

non ne ho notizia e non leggo info sulla rete a riguardo

 

[Goofy]

Aggiornamenti sull'argomento...a favore di FF così qualcuno la smette di dire che sono di parte ...

Roma - Nella più recente versione di Firefox si celerebbe una seria vulnerabilità di sicurezza potenzialmente sfruttabile da malintenzionati per ottenere il controllo di un PC. A sostenerlo è la società di sicurezza russa Intevydis, che afferma di aver già sviluppato un exploit capace di funzionare sotto Windows XP e Vista.

Sebbene nel momento in cui si scrive Mozilla non abbia ancora confermato l'esistenza e/o la gravità del problema, in questo advisory Secunia classifica la vulnerabilità come highly critical e suggerisce agli utenti di non visitare siti sconosciuti e potenzialmente inaffidabili.

Intevydis afferma di aver scoperto il baco in Firefox 3.6, ma non esclude che questo possa trovarsi anche in precedenti versioni del browser. Sul forum della società c'è tuttavia un utente che afferma di aver testato l'exploit - che che Intevydis fornisce sotto forma di aggiornamento al suo software commerciale VulnDisco - senza successo, e accusa la società russa di essersi inventata l'esistenza di una falla zero-day in Firefox con il solo scopo di farsi pubblicità. Messaggi dello stesso tono sono apparsi anche tra i commenti all'advisory di Secunia. È tuttavia difficile pensare che l'autorevole società di sicurezza danese, Secunia per l'appunto, pubblichi un advisory senza prima verificare l'attendibilità della sua fonte.

 

[Goofy]

A parte l'eventuale inattendibilità della notizia volevo sottolineare altri aspetti interessanti che ci fanno capire meglio il mondo sommerso che gira intorno a questi bug

innanzitutto una società di sicurezza russa dice di aver sviluppato questo exploit e lo vende al mercato nero ai suoi "clienti"; se vi interessa il sw si chiama VulnDisco

prima considerazione:
si può notare che il mercato è fiorente e lo fanno senza nemmeno nascondersi; quindi scordatevi della "favoletta" che quando un bug viene scoperto da un hacker, il codice viene comunicato alla casa produttrice e si aspetta la patch
può succedere che questo gentlement's agreement venga rispettato ma è molto + probabile che quando un bug venga scoperto, visto il suo valore economico, venga sfruttato da chi ne voglia approfittare

e tanto + è un bug non conosciuto, i cosidetti 0-days, tanto + valore ha sul mercato nero