Firefox, è già 3.5.2

Firefox è giunto alla versione 3.5.2 grazie ad un nuovo aggiornamento che risolve sei vulnerabilità, quattro delle quali considerate dalla stessa Mozilla come critiche. La fondazione consiglia anche agli utenti della 3.0 di passare alla nuova versione

Una nuova ondata di aggiornamenti caratterizza l’inizio settimana in casa Mozilla. Trattasi nella fattispecie di update destinati a migliorare la stabilità del browser ed a risolverne alcune gravi vulnerabilità emerse soltanto negli ultimi giorni. Secunia definisce la situazione come «altamente critica» (SA36125) consigliando pertanto immediato update per evitare la possibile incorrenza di attacchi studiati specificatamente per colpire i bug resi pubblici.

Gli aggiornamenti sono relativi tanto alla versione 3.0 del browser quanto alla nuova versione 3.5, la cui storiografia in tema di sicurezza ha già un suo spessore nonostante il breve percorso fin qui compiuto dall’ultima versione del software. Il browser, peraltro, ha già superato il miliardesimo download e continua una marcia che nell’ultimo mese ha visto occupata una quota di mercato pari al 22.47% contro il 67.68% di un Internet Explorer in costante caduta (dati NetApplications). Un anno fa la percentuale occupata dal browser Mozilla era del 19% circa.

Sei le vulnerabilità corrette con la versione 3.5.2 del browser, quattro delle quali considerate critiche dalla stessa Mozilla. Una delle vulnerabilità, in particolare, coinvolge le comunicazioni SSL e Mozilla ringrazia espressamente il team Microsoft Vulnerability Research per la collaborazione in una azione di protezione multi-browser. I problemi emersi coinvolgono peraltro anche Thunderbird e SeaMonkey, per i quali sono disponibili i rispettivi aggiornamenti.

Il download dell’ultima versione di Firefox è immediatamente disponibile anche in lingua italiana. Va sottolineato come con apposito post sul blog Mozilla si incoraggino gli utenti utilizzanti Firefox 3.0 a passare alla versione 3.5, più veloce e sicura rispetto alla precedente.

hexaae

A quando, finalmente, la Modalità Protetta sfruttando gli Integrity Level per Vista o Win7? FFox nel momento in cui compare una falla resta completamente scoperto a differenza di IE7-8 che girando (insieme ai suoi add-on eventualmente caricati) con bassi privilegi e sandboxato dagli IL non permette gravi attacchi nonostante eventuali falle.

Quando si sveglieranno quelli di Mozilla invece di robette accessorie e sfide all’ultimo benchmark per il JS?
https://wiki.mozilla.org/Mozilla_2/Protected_mode
Felix

Migliorare le performance di JS e rendering sono “robette accessorie”?!?

Sicuramente la questione sandbox è una cosa importante e necessaria, ma se per il momento è stata “accantonata” un motivo c’è:
Firefox gira su molte piattaforme differenti, e non è una scherzo farlo su tutti i S.O. (Vedi chrome con Linux).
La cosa viene, al momento, parzialmente riparata con aggiornamenti repentini.

P.S. Ricorso che IE con sandbox funziona ancora solo su Vista (Seven ancora non è uscito!) e quindi rimangono fuori al momento i S.O. più usati, specie in ambito aziendale, WinXp e Win200
hexaae

Il livello raggiunto già in quei campi è più che sufficiente per dedicarsi ad aspetti importanti come la sicurezza e implementare perciò la Modalità Protetta con il sandboxing “naturale”, certo solo da Vista in su, ma Chrome ad esempio già implementa una soluzione analoga.
E’ da molti mesi che se ne parla nel Mozilla team ma ancora non si è fatto realmente nulla.
BLah

Vorrei passare a FF3.5, ma una estensione che uso per lavorare (CSS Viewer) non c’è ancora… che poi non capisco perché questa incompatibilità per una estensione del genere.
http://www.lorenzoraffio.com/blog Lorenzo Raffio

@BLaH: Prova questo! https://addons.mozilla.org/es-ES/firefox/addon/13357 :)
paguro

La modalità protetta efficace è quella di Chrome, browser che non è integrato col sistema.
La modalità protetta di Internet explorer, oltre che dipendere dal sistema, agisce su un browser pesantemente integrato col sistema, perdendo tutta la sua efficacia, negli ultimi 2 mesi su internet Explorer sono state corrette 3 0day, con la modalità protetta che va a farsi benedire, in tal caso.

La modalità protetta di un browser su piattaforma Linux, non è necessaria, il sistema ha una scissione netta dei privilegi utente.
paguro

Dimenticavo alla scissione privilegi utenti di Linux, aggiungiamo, ad esempio AppArmor, presente di default su Ubuntu, ricordiamoci anche del firewall a livello kernel, è siamo ok.
http://www.myboxproject.net emmebì

@paguro:

i privilegi di un processo dipendono dall’utente con cui viene eseguito e, giustamente, parli di AppArmour perchè, talvolta, i privilegi di esecuzione – pur se di utente “normale” si tratta – sono comunque troppo elevati.

Prendiamo il mio Firefox che gira con l’utente “Marco” su X: è vero che un exploit non infetterebbe l’intero sistema, tuttavia sarebbe in grado di modificare tutti i file del mio account, e ciò a volte è peggio che rovinare un sistema intero…

Questo, (solo) su Vista, Firefox non ce l’ha (perchè non ce l’ha di suo e non è possibile usare AppArmour o SELinux) e qui dò ragione a hexaae sull’urgenza di intervenire.
hexaae

«La modalità protetta efficace è quella di Chrome, browser che non è integrato col sistema.
La modalità protetta di Internet explorer, oltre che dipendere dal sistema, agisce su un browser pesantemente integrato col sistema, perdendo tutta la sua efficacia, negli ultimi 2 mesi su internet Explorer sono state corrette 3 0day, con la modalità protetta che va a farsi benedire, in tal caso.»

Falso. Non è così che stanno le cose, fortunatamente.
http://www.myboxproject.net emmebì

@paguro, [6]

>> Explorer sono state corrette 3 0day, con la modalità protetta che va a farsi benedire, in tal caso.

Queste sono frasi “buttate lì” oppure c’è una fonte tecnica?
hexaae

@emmebì
Infatti non è vero quello che dice paguro che dimostra di non sapre tecnicamente come funziona invece la Modalità Protetta e gli IL in IE.
La sicurezza dell’approccio di IE7-8 è indiscussa (solo per Windows Vista o più, ovviamente…) e non per niente anche quelli del Mozilla team ne riconoscono la validità.
Paguro, documentati prima…
hexaae

Se fosse utile a spronarli sottoscriverei anche un sondaggio perché si dessero una mossa quelli del Mozilla team!
Dopo la MP, FFox sarà virtualmente perfetto.
http://www.myboxproject.net emmebì

@hexaae:

su sandboxie com’è la questione?
hexaae

È un palliativo installare un’hack del kernel per fare certe cose (e su versioni a 64bit nemmeno funziona: http://www.sandboxie.com/index.php?WindowsVista64 ). Ci vuole l’implementazione pulita e potente (nonché complessa) offerta tramite gli IL e l’uso dei privilegi ridotti solo per certi task e addirittura solo in determinate condizioni, per garantire cmq l’integrazione con il resto del sistema… è più complicato di quanto sembri e probabilmente anche questo frena l’implementazione in FFox che ancora tarda a venire…
http://www.myboxproject.net emmebì

Palliativo vuol dire tutto e niente… è dimostrato che è un palliativo od è una tua idea? E’ un software tutto sommato famoso e “premiato”..
hexaae

Se mi chiedi semplicemente “funziona?”, “svolgerebbe in maniera adeguata il suo compito con FFox?” la risposta è sì, ma è cmq una implementazione più costrittiva e meno integrata col sistema di quella di IE e non è escluso che Sandboxie stesso abbia dei bug sfruttabili come exploit…
In fin dei conti Sandboxie è una nasty hack e io per esempio preferisco evitare di infilare hack nel kernel di qualsiasi Windows…
hexaae

Ah, dimenticavo di dire che è inoltre complicato da configurare Sandboxie, in particolare quando chiami in campo eventuali add-on esterni del browser che incontrano molti problemi…
hexaae

…anche Chrome per quanto riguarda gli add-on è più vulnerabile della complessa implementazione di IE7-8 e i programmatori hanno alzato bandiera bianca: gli add-on girano in Medium IL come il resto delle applicazioni utente e non sono sandboxate in alcun modo, per evitare problemi al loro funzionamento.
emmebì

…anche perchè immagino che, da inguaribili fautori dell’opensource, microsoft si sia tenuta le specifiche “che contano” ben strette.