E dopo Internet Explorer anche Mozilla Firefox 3.5 soffre di un grave bug relativo alla gestione Javascript. Il codice che consente di sfruttare l’exploit è già online, quindi molto probabilmente i primi attacchi potrebbero venire segnalati nelle prossime ore.
La tipologia di questo è delle più classiche, ovvero una pagina web apparentemente normale che però dietro le quinte sfrutterà il codice per attivare la falla.
Siamo in attesa del rilascio di una patch ufficiale da parte di Mozilla nelle prossime ore tuttavia il Washington Post ha pubblicato una soluzione temporanea che consiste nel disabilitare il componente vulnerabile.
Per fare ciò digitiamo about:config nella barra degli indirizzi e cerchiamo la voce javascript.options.jit.content il cui valore dovrebbe essere true, impostiamolo su false. Noteremo un rendering delle pagine più lento tuttavia potremo navigare tranquilli fino al rilascio del fix. Gli utenti di Firefox 3.0 non sono soggetti a questo problema.
#1Luckz
Per fortuna Opera è sicurissimo.
#2Monkey Island
Tenetevi il panda rosso asd
#3Neeeewbie
Il rischio di attacco c’è anche se si utilizzano i DNS di OpenDNS..?
#4dario
continuate a usare FF. Quoto Luckz.
#5Marco
Beh in realtà gli “attacchi” di questo tipo non sono dei veri e propri attacchi, perchè l’unico modo che c’è per attivarlo è far eseguire al nostro browser un certo codice javascript. Viene da se quindi che dobbiamo andare su siti con codice javascript studiato appositamente!! Quindi la possibilità che un browser venga “attaccato” è abbastanza bassa, dovrebbero esserci più problemi in contemporanea perchè molti utenti possano soffrire del problema riportato:
es. il sito del corriere viene bucato -> sulla homepage viene inserito il codice javascript “malevolo” -> l’utente ha firefox 3.5 attuale e visita il sito suddetto
Ovviamente se su internet vado su siti “poco raccomandabili” probabilmente ha poca importanza che browser ho… perchè magari gli attacchi mi arrivano per altre vie! 😀
#6Nickname
Mi tengo firefox e non lo cambio perchè:
1) tra poco la arriverà la patch
2) se anche non arriva chissenefrega ci sono le estensioni come adblock e noscript e poi dove cavolo vai a beccare la pagina fatta apposta con lo script nocivo?
3) Se anche si becca la pagina la blocca il kaspersky
4) se anche si becca la pagina c’è OpenDNS
#7Gerakal
@01-04:
Eh certo… perchè Opera non ha nessuna falla vero?
Continuerò dirlo,ma nessuno capisce:
falla trovata – falla corretta
falla non trovata – falla ancora presente
Adesso qualcuno mi dice: “Ma falla finita!” … me le dico da solo xD
#8Ivan
Meno male che tengo il 3.0
#9drigerott
Ivan dice:
menomale che sei ignorante!
#10sientimento
questo dimostra che la velocità del motore JavaScript non è tutto, Mozilla ha preferito la velocità alla sicurezza… ed ecco i risultati CATASTROFICI venire a galla!
#11drigerott
Marco dice:
quoto e se poi la gente vai su i siti porno e altro del genere o siti di serial e crack se fa sempre click su YES puo’ avere opera netscape chrome che dovrà formattare lo stesso il pc… ahahahahha poveri ignoranti…
#12Ivan
drigerott dice:
meno male non menomale!
cmq se tengo la 3.0 è xche alcuni add-ons non funzionano con la nuova release.
PS: impara a moderare i termini bambino
#13Devil402
sientimento dice:
chiamalo catastrofico……è una falla di sicurezza, subito trovata e che verrà corretta presto. Mozilla non ha preferito la velocità alla sicurezza, altrimenti a quest’ora avremmo un firefox veloce quanto chrome…..
#14Riccardo7422
drigerott dice:
asd xD
#15mario.91
Meno male che uso Opera! 😀
#16Devil402
mario.91 dice:
Lo userei anch’io se non renderizzasse male quasi tutti i miei siti preferiti -.-“
#17antiufo
@Geekissimo
Provate a correggere il layout errato del riquadro con la data del post e dei pulsanti di voto su internet explorer 8, o almeno aggiungete il tag (si può anche risolvere manualmente usando la visualizzazione compatibilità).
Peccato però che con la modalità IE7 sotto ogni link compare un area invisibile che se cliccata accidentalmente porta alla solita pagina “Guadagnare online”. È un caso?
#18Shor
antiufo dice:
Puoi essere più preciso? A quali pulsanti di voto ti riferisci?
Puoi allegarmi anche uno screenshot?
Grazie in anticipo
#19_DjN_
strano che ne l’articolo ne qualcuno di voi ha menzionato ancora l’estensione NoScript che vanifica la falla al 100% (o quasi, uno deve essere utonto per disabilitare NoScript su pagine che non conosce o dalla dubbia provenienza)
#20_DjN_
mi correggo, almeno uno ne ha parlato già XD
#21Edo
Ma con noscript si è vulnerabili lo stesso?
#22Luckz
@ Devil402:
Devil a me apre perfettamente quasi quasi ma quasi tutti i siti, se proprio hai problemi basta segnalare il sito da ?/Segnala un sito con problemi…
Mi è capitato una sola volta di avere problemi con l’apertura di un sito, solo una.
@ Shor:
Il problema a cui si riferisce antiufo è reale, è capitato anche a me, basta andare nella parte destra del sito (da sotto le categorie in poi) e notare che il browser rileva un collegamento a https://www.geekissimo.com/guadagnare-online/
Spero di esser stato d’aiuto.
#23Ivan
Edo dice:
NO xche blocca gli script
#24Free
Mi sembrate quasi i tifosi dell’inter e del milan che si urlano a vicenda .-.
Comunque non mi preoccupo più di tanto visto che tra poco arriverà sicuramente la patch =)
#25SKiNNYCAP
@ Ivan:
Gli addon funzionano tutti con la 3.5 XD
Brutto bug per il nostro browser..Tanto arrivera la patch in poco tempo e comunque
Nickname dice:
Quoto.
#26sientimento
@_DjN_
Come fai a sapere quale sito è buono e quale cattivo? metti che classifichi geekissimo.com come buono e poi il sito viene compromesso ecco che vieni fregato. Quindi noscript non serve a nulla!
#27antiufo
@Shor
Con IE8, solo sulle pagine singole dei post e non in homepage c’è questo problema: http://img440.imageshack.us/img440/4880/geekissimo.jpg
(mi ero sbagliato prima, non sono i pulsanti di voto ma quelli per passare al post successivo o precedente)
Con IE7 invece c’è il problema dell’area sotto ogni link che punta a “Guadagnare online”
http://img188.imageshack.us/img188/3536/geek2.jpg
Il primo problema si ha solo con IE8, il secondo solo con IE7 o con la modalità compatibilità di IE8
#28andrea90rm
mi tengo FF con l’addon noscript e amen 😀 abilito l’esecuzione dei script solo ai siti che conosco 🙂
#29Carlo
Scusatemi ragazzi ma questa falla c’è anche per gli utenti linux,se è un problema di core del browser penso di si ?Attendo una vostra notizia
#30Devil402
@Luckz: Ho provato a chiedere sul forum tempo fà, e mi risposerò che era colpa delle pagine web che visitavo, in quanto non rispettavano W3C….poi mi dava anche altri problemi, per esempio quando aprivo facebook, renderizzava male la pagina, o alcune funzioni del social network mi erano inaccessibili, anche ricaricando la pagina il problema non si risolveva, ma tornandoci dopo qualche minuto era tutto perfettamente funzionante -.-” anche un mio amico ha avuto problemi di questo tipo, anche su myspace, ha chiesto sul forum e la risposta che ha avuto è stata: “Sono i siti web che visiti che sono fatti male” o robe del genere…….
#31Carlo
Comunque Firefox tutta la vita
#32Francesco
ma scusate, noscript non rallenta il motore javascript e le pagine si caricano più lentamente?
altra domanda: nessuno di voi ha notato che fast dial non funge più con la 3.5? si sa di qualche patch che risolva? un articolo per risolvere il problema?
#33geihard
Gli sviluppatori non dormono..
L’hanno già fixato!
versione 3.5.1 appena autoinstallatasi: la vulnerabilità javascript è stata eliminata ;-))
http://www.mozilla.org/security/announce/2009/mfsa2009-41.html
#34Luckz
@ Devil402:
Io utilizzo sia Facebook che MySpace senza alcun problema.
Non saprei quale fosse io tuo problema.