www.MegaLab.it

[ste_95]

Ennesimo bug di sicurezza per Firefox - Commenti

Salta fuori un altro bug critico in Firefox 3.5.1. Nessuna patch né workaround ancora disponibili, e un Proof of Concept è già in rete. [continua...]

[developerwinme]

Ciao ste. Ma la tanto decantata sicurezza di FF dove è finita? Neanche un mese di vita e già bug a non finire... Il lancio di IE 8 è stato molto meno travagliato (meno rinvii del lancio stesso(Firefox 3.5 doveva essere 3.1..., nessun bug nell'immmediato ecc...). Comunque W Chrome 3(Beta):)

[ste_95]

 Comunque W Chrome 3(Beta):)

La penso anch'io così :)

[Paguro88]

Ciao ste. Ma la tanto decantata sicurezza di FF dove è finita? Neanche un mese di vita e già bug a non finire... Il lancio di IE 8 è stato molto meno travagliato (meno rinvii del lancio stesso(Firefox 3.5 doveva essere 3.1..., nessun bug nell'immmediato ecc...). Comunque W Chrome 3(Beta):)

 
Hai una strana concezione della sicurezza.
Partendo dal presupposto che nessun browser è esente da falle. La sicurezza di un browser non si calcola basandosi sul numero delle falle scoperta,ma bisogna tenere conto della pericolosità delle falle, e sopratutto tener conto del lasso di tempo che va dalla scoperta della falla alla sua risoluzione.
Su Google Chrome pochi giorni fa è stata corretta una pericolosa falla:
http://secunia.com/advisories/35844/
Internet Explorer 8 è afflitto da una falla scoperta 2 anni e mezzo fa:
http://secunia.com/advisories/24314
Di cosa dobbiamo discutere che tutti i browser sono soggetti a falle?

[Paguro88]

 Comunque W Chrome 3(Beta):)
La penso anch'io così :)

 
Comunque W Firefox 3.6(pre-alpha)

[ste_95]

Sono d'accordo con te, ma, sarò anche monotono, ma come la metti con l'uso di memoria virtuale?

[Paguro88]

Ultimamente su Firefox si sta enfatizzando su qualsiasi cosa che
lo riguardi.
Non fatevi prendere dalla foga di pubblicare notizie.
Non c'è alcun bug sfruttabile Mozilla lo spiega in un comunicato
ufficiale, :
http://blog.mozilla.com/security/2009/07/19/milw0rm-9158-stack-overflow-crash-not-exploitable-cve-2009-2479/
Secunia infatti non ha riportato nulla, perchè non c'è niente di
cui preoccuparsi.

[ste_95]

Avevo visto una mzz'ora fa, sto finendo la news in proposito ;)

[Paguro88]

Sono d'accordo con te, ma, sarò anche monotono, ma come la metti con l'uso di memoria virtuale?

 
Come la metto?
Che Firefox 3.5 ha la migliore gestione della memoria:
http://dotnetperls.com/chrome-memory
Migliore sopratutto rispetto Google Chrome.

[developerwinme]

Ciao ste. Ma la tanto decantata sicurezza di FF dove è finita? Neanche un mese di vita e già bug a non finire... Il lancio di IE 8 è stato molto meno travagliato (meno rinvii del lancio stesso(Firefox 3.5 doveva essere 3.1..., nessun bug nell'immmediato ecc...). Comunque W Chrome 3(Beta):)
 
Hai una strana concezione della sicurezza.
Partendo dal presupposto che nessun browser è esente da falle. La sicurezza di un browser non si calcola basandosi sul numero delle falle scoperta,ma bisogna tenere conto della pericolosità delle falle, e sopratutto tener conto del lasso di tempo che va dalla scoperta della falla alla sua risoluzione.
Su Google Chrome pochi giorni fa è stata corretta una pericolosa falla:
http://secunia.com/advisories/35844/
Internet Explorer 8 è afflitto da una falla scoperta 2 anni e mezzo fa:
http://secunia.com/advisories/24314
Di cosa dobbiamo discutere che tutti i browser sono soggetti a falle?

 Non intendevo dire che IE è immune da falle ma la versione 8 è, secondo me, il browser al momento più sicuro. La falla di cui parli è, secondo Secunia, less critical, e comunque per sfruttarla va creata una pagina  con requisiti molto specifiici. Quello che volevo criticare io è che Firefox 3.5 è stato rilasciato (e dopo numerosi rinvii) con molte falle critiche e facilmente sfruttabili. Forse bastava ammettere che il browser non era ancora pronto e rinviare ancora il lancio invece di lanciare un prodotto che, per la velocità con cui vengono scoperti bug, sembra essere in fase di beta test. Per quanto riguarda il fatto che Chrome usi più memoria  di FF è perche, come IE 8, utilizza 1 processo ogni 2 tab per aumentare la resistenza ai crash.

[Paguro88]

Avevo visto una mzz'ora fa, sto finendo la news in proposito ;)

 
Bene allora puoi aggiungere  all'articolo che non è posibile utilizzare tale bug né per exploit, ne per dar luogo a un buffer overflow.

[Paguro88]

Ciao ste. Ma la tanto decantata sicurezza di FF dove è finita? Neanche un mese di vita e già bug a non finire... Il lancio di IE 8 è stato molto meno travagliato (meno rinvii del lancio stesso(Firefox 3.5 doveva essere 3.1..., nessun bug nell'immmediato ecc...). Comunque W Chrome 3(Beta):)
 
Hai una strana concezione della sicurezza.
Partendo dal presupposto che nessun browser è esente da falle. La sicurezza di un browser non si calcola basandosi sul numero delle falle scoperta,ma bisogna tenere conto della pericolosità delle falle, e sopratutto tener conto del lasso di tempo che va dalla scoperta della falla alla sua risoluzione.
Su Google Chrome pochi giorni fa è stata corretta una pericolosa falla:
http://secunia.com/advisories/35844/
Internet Explorer 8 è afflitto da una falla scoperta 2 anni e mezzo fa:
http://secunia.com/advisories/24314
Di cosa dobbiamo discutere che tutti i browser sono soggetti a falle?
 Non intendevo dire che IE è immune da falle ma la versione 8 è, secondo me, il browser al momento più sicuro. La falla di cui parli è, secondo Secunia, less critical, e comunque per sfruttarla va creata una pagina  con requisiti molto specifiici. Quello che volevo criticare io è che Firefox 3.5 è stato rilasciato (e dopo numerosi rinvii) con molte falle critiche e facilmente sfruttabili. Forse bastava ammettere che il browser non era ancora pronto e rinviare ancora il lancio invece di lanciare un prodotto che, per la velocità con cui vengono scoperti bug, sembra essere in fase di beta test. Per quanto riguarda il fatto che Chrome usi più memoria  di FF è perche, come IE 8, utilizza 1 processo ogni 2 tab per aumentare la resistenza ai crash.

 
Non esiste  browser sicuro al 100%.
Firefox 3.1 diventato dopo Firefox 3.5, ha ricevuto ritardi per via del nuovo motere Javascript.
La falla citata nell'articolo di oggi è una non falla, non può essere sfruttata nè per un exploit e nè per un buffer overlow:
http://blog.mozilla.com/security/2009/07/19/milw0rm-9158-stack-overflow-crash-not-exploitable-cve-2009-2479/
FF3.5 ha avuto solo una falla corretta come al solito i tempi record:
http://secunia.com/advisories/35798/

Sulla questione della presunta sicurezza di IE8, ti ho fatto notare che c'è una falla less critcal aperta da oltre 2 anni:
http://secunia.com/advisories/24314/
Tralasciando il discorso delle pesante integrazione e dipendenza da Windows, come può essere sicuro un browser come IE8 con quella porcata di Active X, proprio qualche giorno fa è stata corretta una 0day:
http://isc.sans.org/diary.html?storyid=6733&rss
Ma adesso c'è un altra 0day, sempre sfruttabile tramite IE:
http://secunia.com/advisories/35800/
Un altra cosa, forse Ms è troppa intenta a IE8, non capisco perchè non risolvano questa falla di IE7:
http://secunia.com/advisories/22628
Sono 3 anni che è aperta.

[leonibus]

Ciao ste. Ma la tanto decantata sicurezza di FF dove è finita? Neanche un mese di vita e già bug a non finire... Il lancio di IE 8 è stato molto meno travagliato (meno rinvii del lancio stesso(Firefox 3.5 doveva essere 3.1..., nessun bug nell'immmediato ecc...). Comunque W Chrome 3(Beta):)

 sono anchio d'accordo per il viva Chrome 3 (beta) ;)

soprattutto per quanto riguarda bug e co è il più sicuro.. pochissimo tempo per la correzione.. Google è sempre Google... ;)

[Fred]

Trovo FF3.5 abbastanza deludente, istallato di fresco si appropria in un attimo di oltre 100kb di memoria e ieri è andato in crash molte volte. Inoltre mi ha molto deluso il fatto che non riesca ad ottenere 100/100 all'acid test 3: dopo tutto quel lavoro che hanno fatto sul motore javascript 93/100 mi sembra davvero poco. Devo dire che sotto linux si presenta più stabile e meno avido in termini di memoria che sotto Vista ma in ogni caso, questa 3.5 che doveva avere come fiora all'occhiello il motore js non si avvicina neppure lontanamente a safari che totalizza 100/100 (ed è anche più vecchio di qualche mese).

[Paguro88]

Trovo FF3.5 abbastanza deludente, istallato di fresco si appropria in un attimo di oltre 100kb di memoria e ieri è andato in crash molte volte. Inoltre mi ha molto deluso il fatto che non riesca ad ottenere 100/100 all'acid test 3: dopo tutto quel lavoro che hanno fatto sul motore javascript 93/100 mi sembra davvero poco. Devo dire che sotto linux si presenta più stabile e meno avido in termini di memoria che sotto Vista ma in ogni caso, questa 3.5 che doveva avere come fiora all'occhiello il motore js non si avvicina neppure lontanamente a safari che totalizza 100/100 (ed è anche più vecchio di qualche mese).

 
Posso chiederti cosa centrerebbe la tua opinione personale con l'articolo?
Si discuteva della non falla della notizia.
Una cosa, ma cosa centra il motore Js con il punteggio dell'Acid3?

[aletrevi]

Ma possibile che siamo sempre a lamentarci?
Solo un paio di cose:
IE è a pagamento (se vogliamo metterla così)
Firefox è completamente gratuito, questo ancora quando effettivamente si chiamava Mozilla.
considerando anche che essendo gratuito e opensource i bachi vengono corretti in tempi recordo questo dice tutto...
Se vogliamo confrontare Firefox confrontiamolo con gli altri browser gratuiti e non con IE che non c'è paragone....
 
W FIREFOX............

[Buzzi]

io volevo aggiungere una cosa che non riguarda la sicurezza ma l'utilizzo della ram: negli altri recenti articoli di ff, avevo visto persone che con due-tre schede aperte arrivavano a 200 mb di memoria... io sono arrivato a 770 MB su linux...ma attenzione, stavo usando ben 63 schede contemporaneamente e quindi (770/63) circa 12 MB a scheda, e non mi pare moltissimo
per quanto riguarda google, esso utilizza dei metodi poco simpatici che invadono la privacy su internet ( che poi dico, quando c'è stata mai la privacy su intenret), che oltre a spiarci, presta il suo discutibilissimo servizio a moltissimi altri siti