Una grave falla colpisce Firefox 3.5
Pubblicato da
Pierfrancesco Petruzzelli (pierfrancesco99)in
Firefox | 15 luglio, 2009 | 4:00 pm
E dopo Internet Explorer anche Mozilla Firefox 3.5 soffre di un grave bug relativo alla gestione Javascript. Il codice che consente di sfruttare l’exploit è già online, quindi molto probabilmente i primi attacchi potrebbero venire segnalati nelle prossime ore.
La tipologia di questo è delle più classiche, ovvero una pagina web apparentemente normale che però dietro le quinte sfrutterà il codice per attivare la falla.
Siamo in attesa del rilascio di una patch ufficiale da parte di Mozilla nelle prossime ore tuttavia il Washington Post ha pubblicato una soluzione temporanea che consiste nel disabilitare il componente vulnerabile.
Per fare ciò digitiamo about:config nella barra degli indirizzi e cerchiamo la voce javascript.options.jit.content il cui valore dovrebbe essere true, impostiamolo su false. Noteremo un rendering delle pagine più lento tuttavia potremo navigare tranquilli fino al rilascio del fix. Gli utenti di Firefox 3.0 non sono soggetti a questo problema.
Altri articoli:
Articoli correlati a "Una grave falla colpisce Firefox 3.5"
-
Il sito Internet WinRumors ha scovato una grave falla nel sistema di messaggistica di Windows Phone. Inviando un SMS appositamente progettato al telefono della vittima, lo smartphone si
-
Facebook ha fatto sapere di aver riparato una falla di sicurezza molto seria legata alle API per le applicazioni di terze parti. La falla, scoperta dai laboratori Symantec,
-
Questa mattina vi abbiamo annunciato che era stato risolto il grave bug che affliggeva Firefox 3.5javascript.options.jit.content relativo al javascript, che era facilmente risolvibile impostando come false il valore
-
Geekissimo è l’impero dei Geek, e ogni Geek che si rispetti ha un proprio blog WordPress. WordPress è la piattaforma migliore e la più usata, nella creazione di
-
Volete sapere quali sono le città più Geeks d’Italia? Bene, ho analizzato le statistiche di Geekissimo degli ultimi 2 mesi e sono uscite delle belle sorprese. La città
34 Commenti
Per fortuna Opera è sicurissimo.
Tenetevi il panda rosso asd
Il rischio di attacco c’è anche se si utilizzano i DNS di OpenDNS..?
continuate a usare FF. Quoto Luckz.
Beh in realtà gli “attacchi” di questo tipo non sono dei veri e propri attacchi, perchè l’unico modo che c’è per attivarlo è far eseguire al nostro browser un certo codice javascript. Viene da se quindi che dobbiamo andare su siti con codice javascript studiato appositamente!! Quindi la possibilità che un browser venga “attaccato” è abbastanza bassa, dovrebbero esserci più problemi in contemporanea perchè molti utenti possano soffrire del problema riportato:
es. il sito del corriere viene bucato -> sulla homepage viene inserito il codice javascript “malevolo” -> l’utente ha firefox 3.5 attuale e visita il sito suddetto
Ovviamente se su internet vado su siti “poco raccomandabili” probabilmente ha poca importanza che browser ho… perchè magari gli attacchi mi arrivano per altre vie!
Mi tengo firefox e non lo cambio perchè:
1) tra poco la arriverà la patch
2) se anche non arriva chissenefrega ci sono le estensioni come adblock e noscript e poi dove cavolo vai a beccare la pagina fatta apposta con lo script nocivo?
3) Se anche si becca la pagina la blocca il kaspersky
4) se anche si becca la pagina c’è OpenDNS
@01-04:
Eh certo… perchè Opera non ha nessuna falla vero?
Continuerò dirlo,ma nessuno capisce:
falla trovata – falla corretta
falla non trovata – falla ancora presente
Adesso qualcuno mi dice: “Ma falla finita!” … me le dico da solo xD
Meno male che tengo il 3.0
Ivan dice:
menomale che sei ignorante!
questo dimostra che la velocità del motore JavaScript non è tutto, Mozilla ha preferito la velocità alla sicurezza… ed ecco i risultati CATASTROFICI venire a galla!
Marco dice:
quoto e se poi la gente vai su i siti porno e altro del genere o siti di serial e crack se fa sempre click su YES puo’ avere opera netscape chrome che dovrà formattare lo stesso il pc… ahahahahha poveri ignoranti…
drigerott dice:
meno male non menomale!
cmq se tengo la 3.0 è xche alcuni add-ons non funzionano con la nuova release.
PS: impara a moderare i termini bambino
sientimento dice:
chiamalo catastrofico……è una falla di sicurezza, subito trovata e che verrà corretta presto. Mozilla non ha preferito la velocità alla sicurezza, altrimenti a quest’ora avremmo un firefox veloce quanto chrome…..
drigerott dice:
asd xD
Meno male che uso Opera!
mario.91 dice:
Lo userei anch’io se non renderizzasse male quasi tutti i miei siti preferiti -.-”
@Geekissimo
Provate a correggere il layout errato del riquadro con la data del post e dei pulsanti di voto su internet explorer 8, o almeno aggiungete il tag (si può anche risolvere manualmente usando la visualizzazione compatibilità).
Peccato però che con la modalità IE7 sotto ogni link compare un area invisibile che se cliccata accidentalmente porta alla solita pagina “Guadagnare online”. È un caso?
antiufo dice:
Puoi essere più preciso? A quali pulsanti di voto ti riferisci?
Puoi allegarmi anche uno screenshot?
Grazie in anticipo
strano che ne l’articolo ne qualcuno di voi ha menzionato ancora l’estensione NoScript che vanifica la falla al 100% (o quasi, uno deve essere utonto per disabilitare NoScript su pagine che non conosce o dalla dubbia provenienza)
mi correggo, almeno uno ne ha parlato già XD
Ma con noscript si è vulnerabili lo stesso?
@ Devil402:
Devil a me apre perfettamente quasi quasi ma quasi tutti i siti, se proprio hai problemi basta segnalare il sito da ?/Segnala un sito con problemi…
Mi è capitato una sola volta di avere problemi con l’apertura di un sito, solo una.
@ Shor:
Il problema a cui si riferisce antiufo è reale, è capitato anche a me, basta andare nella parte destra del sito (da sotto le categorie in poi) e notare che il browser rileva un collegamento a http://www.geekissimo.com/guadagnare-online/
Spero di esser stato d’aiuto.
Edo dice:
NO xche blocca gli script
Mi sembrate quasi i tifosi dell’inter e del milan che si urlano a vicenda .-.
Comunque non mi preoccupo più di tanto visto che tra poco arriverà sicuramente la patch =)
@ Ivan:
Gli addon funzionano tutti con la 3.5 XD
Brutto bug per il nostro browser..Tanto arrivera la patch in poco tempo e comunque
Nickname dice:
Quoto.
@_DjN_
Come fai a sapere quale sito è buono e quale cattivo? metti che classifichi geekissimo.com come buono e poi il sito viene compromesso ecco che vieni fregato. Quindi noscript non serve a nulla!
@Shor
Con IE8, solo sulle pagine singole dei post e non in homepage c’è questo problema: http://img440.imageshack.us/img440/4880/geekissimo.jpg
(mi ero sbagliato prima, non sono i pulsanti di voto ma quelli per passare al post successivo o precedente)
Con IE7 invece c’è il problema dell’area sotto ogni link che punta a “Guadagnare online”
http://img188.imageshack.us/img188/3536/geek2.jpg
Il primo problema si ha solo con IE8, il secondo solo con IE7 o con la modalità compatibilità di IE8
mi tengo FF con l’addon noscript e amen
abilito l’esecuzione dei script solo ai siti che conosco 
Scusatemi ragazzi ma questa falla c’è anche per gli utenti linux,se è un problema di core del browser penso di si ?Attendo una vostra notizia
@Luckz: Ho provato a chiedere sul forum tempo fà, e mi risposerò che era colpa delle pagine web che visitavo, in quanto non rispettavano W3C….poi mi dava anche altri problemi, per esempio quando aprivo facebook, renderizzava male la pagina, o alcune funzioni del social network mi erano inaccessibili, anche ricaricando la pagina il problema non si risolveva, ma tornandoci dopo qualche minuto era tutto perfettamente funzionante -.-” anche un mio amico ha avuto problemi di questo tipo, anche su myspace, ha chiesto sul forum e la risposta che ha avuto è stata: “Sono i siti web che visiti che sono fatti male” o robe del genere…….
Comunque Firefox tutta la vita
ma scusate, noscript non rallenta il motore javascript e le pagine si caricano più lentamente?
altra domanda: nessuno di voi ha notato che fast dial non funge più con la 3.5? si sa di qualche patch che risolva? un articolo per risolvere il problema?
Gli sviluppatori non dormono..
)
L’hanno già fixato!
versione 3.5.1 appena autoinstallatasi: la vulnerabilità javascript è stata eliminata
http://www.mozilla.org/security/announce/2009/mfsa2009-41.html
@ Devil402:
Io utilizzo sia Facebook che MySpace senza alcun problema.
Non saprei quale fosse io tuo problema.