MegaLab.it

Il primo baco di sicurezza di Firefox 3.6 è stato corretto - Commenti

Un esperto russo ha individuato la prima vulnerabilità nella release più recente di Firefox. L'exploit è già disponibile (a pagamento), la patch ancora no. Si era mormorato che si potesse trattare di una bufala, ma Mozilla ha confermato l'esistenza del difetto. Update: gli esperti tedeschi suggeriscono di passare ad un browser alternativo. Update2: Mozilla rilascia l'aggiornamento. [continua...]

Si vocifera che sia una bufala, infatti nei commenti dell advisory pubblicato da Secunia, si trova scritto questo " We cannot confirm the report as we have received no details regarding the reported vulnerability, such as a proof-of-concept or steps to reproduce. We’ve attempted to contact the researcher who discovered the issue but have not received a response ".

Allo stato attuale non c'è nessun exploit attivo e funzionante, potrebbe essere sul serio una bufala.

E' probabile, ma il fatto che sia una bufala va preso con le pinze.
Anche se, in effetti, potrebbe essere un modo per spillare soldi a chi paga, anche se non ne sono per nulla convinto.
Secondo me, l'exploit c'è e lo scopritore lo tiene a pagamento per far sì che non venga divulgato.

Grazie per la puntualizzazione Gnulinux866. Vedo di approfondire la questione e, eventualmente, fare un update alla notizia

Zane ha scritto:Grazie per la puntualizzazione Gnulinux866. Vedo di approfondire la questione e, eventualmente, fare un update alla notizia

Io quello che non riesco a capire, come abbiano fatto quelli di Secunia a segnalare una falla senza CVE, senza alcun dettaglio neanche un misero proof-of-concept, allo stato attuale hann pubblicato aria fritta, mi chiedo abbiano fatto a classificare la falla, visto che ammettono di non avere nulla in mano...mah.

Gnulinux866 ha scritto:

Zane ha scritto:Grazie per la puntualizzazione Gnulinux866. Vedo di approfondire la questione e, eventualmente, fare un update alla notizia

Io quello che non riesco a capire, come abbiano fatto quelli di Secunia a segnalare una falla senza CVE, senza alcun dettaglio neanche un misero proof-of-concept, allo stato attuale hann pubblicato aria fritta, mi chiedo abbiano fatto a classificare la falla, visto che ammettono di non avere nulla in mano...mah.

Visto che avete aggiornato l'articolo, aggiorno il anche il mio commento..

Allo stato attuale Mozilla ha confermo il bug, ma non l'exploit, quindi il bug c'è ma non vi sono exploit attivi, ovviamente il bug sarà sistemato ugualmente con FF3.2 come recita l'articolo.

possibile che non ci sia un workaround per minimizzare gli effetti del bug?

Basandomi solamente sulla pressoché totalità dei problemi che ho visto in giro negli ultimi tempi, sarei portato a dire che basti disabilitare Javascript (con tutti gli effetti collaterali che ne conseguono).

Preciso comunque che non ho alcun riferimento in merito, quindi potrei appena aver detto una stupidaggine clamorosa

proprio in questo momento sto scaricando la 3.6.2 disponibile come aggiornamento, i miei complimenti alla velocità di casa Mozilla per la soluzione del problema

Sei stato più veloce di me

Firefox 3.6.2 è arrivato con una settimana d'anticipo rispetto la roadmap per via del futile allarmismo del governo tedesco.

Salve, ho installato firefox 3.6.2, vado a controllare su installazioni applicazioni e mi da firefox 3.6.2pre-it, vado sul noto sito wzor.net clicco su Ky! e non mi da la finestra di login per autenticarmi.Siamo sicuri che si tratta della versione finale di firefox?

Molto spesso è necessario cliccare due volte (dopo la prima, attendendo il refresh) per far apparire la finestra su quel sito.

puma79 ha scritto:mi da firefox 3.6.2pre-it

strano che ti dia quel numero di versione, io ho semplicemente effettuato l'aggiornamento da Aiuto->Controlla gli aggiornamenti e da Informazioni su Mozilla FIrefox mi da la 3.6.2
Problema con wzor a parte, prova a fare un aggiornamento così come ho indicato sopra