Geekissimo

Una grave falla colpisce Firefox 3.5

 
Pierfrancesco Petruzzelli (pierfrancesco99)
15 Luglio 2009
34 commenti

E dopo Internet Explorer anche Mozilla Firefox 3.5 soffre di un grave bug relativo alla gestione Javascript. Il codice che consente di sfruttare l’exploit è già online, quindi molto probabilmente i primi attacchi potrebbero venire segnalati nelle prossime ore.

La tipologia di questo è delle più classiche, ovvero una pagina web apparentemente normale che però dietro le quinte sfrutterà il codice per attivare la falla.


Siamo in attesa del rilascio di una patch ufficiale da parte di Mozilla nelle prossime ore tuttavia il Washington Post ha pubblicato una soluzione temporanea che consiste nel disabilitare il componente vulnerabile.

Per fare ciò digitiamo about:config nella barra degli indirizzi e cerchiamo la voce javascript.options.jit.content il cui valore dovrebbe essere true, impostiamolo su false. Noteremo un rendering delle pagine più lento tuttavia potremo navigare tranquilli fino al rilascio del fix. Gli utenti di Firefox 3.0 non sono soggetti a questo problema.

Potrebbe interessarti anche
Articoli Correlati
Firefox 3.5 non è veloce quanto Chrome, ma i download sono già a quota 5 milioni

Firefox 3.5 non è veloce quanto Chrome, ma i download sono già a quota 5 milioni

L’attesa è stata tanta, troppa per una release “intermedia” e, anche se il risultato sembra aver soddisfatto tutti, era inevitabile che ad attendere dietro l’angolo il nuovo Firefox 3.5 ci […]

Firefox 3.5 implementa la funzione di “restore” delle finestre

Firefox 3.5 implementa la funzione di “restore” delle finestre

Noi tutti sappiamo che Firefox è uno dei migliori browser in circolazione e per questo deve “darsi una mossa” nel rilasciare, dopo molteplici ritardi, la tanto attesa versione 3.5. Tra […]

Mozilla rilascerà l’ultima beta di Firefox 3.5 la prossima settimana

Mozilla rilascerà l’ultima beta di Firefox 3.5 la prossima settimana

Firefox è uno dei browser più utilizzati nel Web e come tale viene periodicamente aggiornato a nuove versioni le quali apportano modifiche interne ed esterne per migliorarne sempre più il […]

Mozilla: “Bisognerà attendere di più per poter assaporare Firefox 3.5”

Mozilla: “Bisognerà attendere di più per poter assaporare Firefox 3.5”

“L’ennesimo ritardo” qualcuno potrebbe pensare, ma questa volta l’attesa vale la candela -come si suol dire- poiché Mozilla ha recentemente dichiarato di voler alterare il numero di versione del suo […]

Tip Firefox: Recuperare i segnalibri persi

Tip Firefox: Recuperare i segnalibri persi

State tranquillamente navigando con Firefox, condizionatore sparato a 15 gradi, magari avete appena finito di montare un nuovissimo alimentatore da 600 Watt quando stranamente, la corrente salta e vi ritrovate […]

Lista Commenti
Aggiungi il tuo commento

Fai Login oppure Iscriviti: è gratis e bastano pochi secondi.

Nome*
E-mail**
Sito Web
* richiesto
** richiesta, ma non sarà pubblicata
Commento

  • #1Luckz

    Per fortuna Opera è sicurissimo.

    15 Lug 2009, 4:22 pm Rispondi|Quota
  • #2Monkey Island

    Tenetevi il panda rosso asd

    15 Lug 2009, 4:29 pm Rispondi|Quota
  • #3Neeeewbie

    Il rischio di attacco c’è anche se si utilizzano i DNS di OpenDNS..?

    15 Lug 2009, 4:33 pm Rispondi|Quota
  • #4dario

    continuate a usare FF. Quoto Luckz.

    15 Lug 2009, 5:07 pm Rispondi|Quota
  • #5Marco

    Beh in realtà gli “attacchi” di questo tipo non sono dei veri e propri attacchi, perchè l’unico modo che c’è per attivarlo è far eseguire al nostro browser un certo codice javascript. Viene da se quindi che dobbiamo andare su siti con codice javascript studiato appositamente!! Quindi la possibilità che un browser venga “attaccato” è abbastanza bassa, dovrebbero esserci più problemi in contemporanea perchè molti utenti possano soffrire del problema riportato:

    es. il sito del corriere viene bucato -> sulla homepage viene inserito il codice javascript “malevolo” -> l’utente ha firefox 3.5 attuale e visita il sito suddetto

    Ovviamente se su internet vado su siti “poco raccomandabili” probabilmente ha poca importanza che browser ho… perchè magari gli attacchi mi arrivano per altre vie! 😀

    15 Lug 2009, 5:11 pm Rispondi|Quota
  • #6Nickname

    Mi tengo firefox e non lo cambio perchè:
    1) tra poco la arriverà la patch
    2) se anche non arriva chissenefrega ci sono le estensioni come adblock e noscript e poi dove cavolo vai a beccare la pagina fatta apposta con lo script nocivo?
    3) Se anche si becca la pagina la blocca il kaspersky
    4) se anche si becca la pagina c’è OpenDNS

    15 Lug 2009, 6:02 pm Rispondi|Quota
  • #7Gerakal

    @01-04:

    Eh certo… perchè Opera non ha nessuna falla vero?

    Continuerò dirlo,ma nessuno capisce:
    falla trovata – falla corretta
    falla non trovata – falla ancora presente

    Adesso qualcuno mi dice: “Ma falla finita!” … me le dico da solo xD

    15 Lug 2009, 6:40 pm Rispondi|Quota
  • #8Ivan

    Meno male che tengo il 3.0

    15 Lug 2009, 7:15 pm Rispondi|Quota
  • #9drigerott

    Ivan dice:

    Meno male che tengo il 3.0

    menomale che sei ignorante!

    15 Lug 2009, 7:32 pm Rispondi|Quota
  • #10sientimento

    questo dimostra che la velocità del motore JavaScript non è tutto, Mozilla ha preferito la velocità alla sicurezza… ed ecco i risultati CATASTROFICI venire a galla!

    15 Lug 2009, 7:32 pm Rispondi|Quota
  • #11drigerott

    Marco dice:

    Beh in realtà gli “attacchi” di questo tipo non sono dei veri e propri attacchi, perchè l’unico modo che c’è per attivarlo è far eseguire al nostro browser un certo codice javascript. Viene da se quindi che dobbiamo andare su siti con codice javascript studiato appositamente!! Quindi la possibilità che un browser venga “attaccato” è abbastanza bassa, dovrebbero esserci più problemi in contemporanea perchè molti utenti possano soffrire del problema riportato:
    es. il sito del corriere viene bucato -> sulla homepage viene inserito il codice javascript “malevolo” -> l’utente ha firefox 3.5 attuale e visita il sito suddetto
    Ovviamente se su internet vado su siti “poco raccomandabili” probabilmente ha poca importanza che browser ho… perchè magari gli attacchi mi arrivano per altre vie!

    quoto e se poi la gente vai su i siti porno e altro del genere o siti di serial e crack se fa sempre click su YES puo’ avere opera netscape chrome che dovrà formattare lo stesso il pc… ahahahahha poveri ignoranti…

    15 Lug 2009, 7:33 pm Rispondi|Quota
  • #12Ivan

    drigerott dice:

    Ivan dice:
    Meno male che tengo il 3.0

    menomale che sei ignorante!

    meno male non menomale!
    cmq se tengo la 3.0 è xche alcuni add-ons non funzionano con la nuova release.
    PS: impara a moderare i termini bambino

    15 Lug 2009, 7:34 pm Rispondi|Quota
  • #13Devil402

    sientimento dice:

    questo dimostra che la velocità del motore JavaScript non è tutto, Mozilla ha preferito la velocità alla sicurezza… ed ecco i risultati CATASTROFICI venire a galla!

    chiamalo catastrofico……è una falla di sicurezza, subito trovata e che verrà corretta presto. Mozilla non ha preferito la velocità alla sicurezza, altrimenti a quest’ora avremmo un firefox veloce quanto chrome…..

    15 Lug 2009, 8:19 pm Rispondi|Quota
  • #14Riccardo7422

    drigerott dice:

    Ivan dice:
    Meno male che tengo il 3.0

    menomale che sei ignorante!

    asd xD

    15 Lug 2009, 8:21 pm Rispondi|Quota
  • #15mario.91

    Meno male che uso Opera! 😀

    15 Lug 2009, 8:36 pm Rispondi|Quota
  • #16Devil402

    mario.91 dice:

    Meno male che uso Opera!

    Lo userei anch’io se non renderizzasse male quasi tutti i miei siti preferiti -.-“

    15 Lug 2009, 9:08 pm Rispondi|Quota
  • #17antiufo

    @Geekissimo

    Provate a correggere il layout errato del riquadro con la data del post e dei pulsanti di voto su internet explorer 8, o almeno aggiungete il tag (si può anche risolvere manualmente usando la visualizzazione compatibilità).

    Peccato però che con la modalità IE7 sotto ogni link compare un area invisibile che se cliccata accidentalmente porta alla solita pagina “Guadagnare online”. È un caso?

    15 Lug 2009, 9:20 pm Rispondi|Quota
  • #18Shor

    antiufo dice:

    @Geekissimo
    Provate a correggere il layout errato del riquadro con la data del post e dei pulsanti di voto su internet explorer 8, o almeno aggiungete il tag (si può anche risolvere manualmente usando la visualizzazione compatibilità).
    Peccato però che con la modalità IE7 sotto ogni link compare un area invisibile che se cliccata accidentalmente porta alla solita pagina “Guadagnare online”. È un caso?

    Puoi essere più preciso? A quali pulsanti di voto ti riferisci?
    Puoi allegarmi anche uno screenshot?
    Grazie in anticipo

    15 Lug 2009, 9:28 pm Rispondi|Quota
  • #19_DjN_

    strano che ne l’articolo ne qualcuno di voi ha menzionato ancora l’estensione NoScript che vanifica la falla al 100% (o quasi, uno deve essere utonto per disabilitare NoScript su pagine che non conosce o dalla dubbia provenienza)

    15 Lug 2009, 9:35 pm Rispondi|Quota
  • #20_DjN_

    mi correggo, almeno uno ne ha parlato già XD

    15 Lug 2009, 9:37 pm Rispondi|Quota
  • #21Edo

    Ma con noscript si è vulnerabili lo stesso?

    15 Lug 2009, 10:03 pm Rispondi|Quota
  • #22Luckz

    @ Devil402:
    Devil a me apre perfettamente quasi quasi ma quasi tutti i siti, se proprio hai problemi basta segnalare il sito da ?/Segnala un sito con problemi…
    Mi è capitato una sola volta di avere problemi con l’apertura di un sito, solo una.

    @ Shor:
    Il problema a cui si riferisce antiufo è reale, è capitato anche a me, basta andare nella parte destra del sito (da sotto le categorie in poi) e notare che il browser rileva un collegamento a https://www.geekissimo.com/guadagnare-online/
    Spero di esser stato d’aiuto.

    15 Lug 2009, 10:34 pm Rispondi|Quota
  • #23Ivan

    Edo dice:

    Ma con noscript si è vulnerabili lo stesso?

    NO xche blocca gli script

    15 Lug 2009, 10:38 pm Rispondi|Quota
  • #24Free

    Mi sembrate quasi i tifosi dell’inter e del milan che si urlano a vicenda .-.
    Comunque non mi preoccupo più di tanto visto che tra poco arriverà sicuramente la patch =)

    15 Lug 2009, 11:10 pm Rispondi|Quota
  • #25SKiNNYCAP

    @ Ivan:
    Gli addon funzionano tutti con la 3.5 XD
    Brutto bug per il nostro browser..Tanto arrivera la patch in poco tempo e comunque
    Nickname dice:

    Nickname

    Quoto.

    16 Lug 2009, 8:03 am Rispondi|Quota
  • #26sientimento

    @_DjN_
    Come fai a sapere quale sito è buono e quale cattivo? metti che classifichi geekissimo.com come buono e poi il sito viene compromesso ecco che vieni fregato. Quindi noscript non serve a nulla!

    16 Lug 2009, 8:06 am Rispondi|Quota
  • #27antiufo

    @Shor
    Con IE8, solo sulle pagine singole dei post e non in homepage c’è questo problema: http://img440.imageshack.us/img440/4880/geekissimo.jpg
    (mi ero sbagliato prima, non sono i pulsanti di voto ma quelli per passare al post successivo o precedente)

    Con IE7 invece c’è il problema dell’area sotto ogni link che punta a “Guadagnare online”
    http://img188.imageshack.us/img188/3536/geek2.jpg

    Il primo problema si ha solo con IE8, il secondo solo con IE7 o con la modalità compatibilità di IE8

    16 Lug 2009, 9:20 am Rispondi|Quota
  • #28andrea90rm

    mi tengo FF con l’addon noscript e amen 😀 abilito l’esecuzione dei script solo ai siti che conosco 🙂

    16 Lug 2009, 9:47 am Rispondi|Quota
  • #29Carlo

    Scusatemi ragazzi ma questa falla c’è anche per gli utenti linux,se è un problema di core del browser penso di si ?Attendo una vostra notizia

    16 Lug 2009, 11:59 am Rispondi|Quota
  • #30Devil402

    @Luckz: Ho provato a chiedere sul forum tempo fà, e mi risposerò che era colpa delle pagine web che visitavo, in quanto non rispettavano W3C….poi mi dava anche altri problemi, per esempio quando aprivo facebook, renderizzava male la pagina, o alcune funzioni del social network mi erano inaccessibili, anche ricaricando la pagina il problema non si risolveva, ma tornandoci dopo qualche minuto era tutto perfettamente funzionante -.-” anche un mio amico ha avuto problemi di questo tipo, anche su myspace, ha chiesto sul forum e la risposta che ha avuto è stata: “Sono i siti web che visiti che sono fatti male” o robe del genere…….

    16 Lug 2009, 4:55 pm Rispondi|Quota
  • #31Carlo

    Comunque Firefox tutta la vita

    16 Lug 2009, 5:03 pm Rispondi|Quota
  • #32Francesco

    ma scusate, noscript non rallenta il motore javascript e le pagine si caricano più lentamente?
    altra domanda: nessuno di voi ha notato che fast dial non funge più con la 3.5? si sa di qualche patch che risolva? un articolo per risolvere il problema?

    17 Lug 2009, 3:07 am Rispondi|Quota
  • #33geihard

    Gli sviluppatori non dormono..
    L’hanno già fixato!
    versione 3.5.1 appena autoinstallatasi: la vulnerabilità javascript è stata eliminata ;-))

    http://www.mozilla.org/security/announce/2009/mfsa2009-41.html

    17 Lug 2009, 6:12 am Rispondi|Quota
  • #34Luckz

    @ Devil402:
    Io utilizzo sia Facebook che MySpace senza alcun problema.
    Non saprei quale fosse io tuo problema.

    18 Lug 2009, 3:53 pm Rispondi|Quota