Archivio » 2004 » settembre » lunedì 20 »

Sicurezza, sindrome da Explorer per Mozilla?

Scritto da Guido Sintoni

Scoperti dieci bug nel popolare browser open source che rendono necessario un (indolore) aggiornamento. La velocità nel rilascio di patch è ancora superiore a quella di Microsoft

Mozilla Foundation raccoglie i primi frutti del Security Bug Bounty Program, un’iniziativa che ricompensa i cacciatori di taglie informatiche con 500 dollari per bug scoperto. Nomi noti (tra cui Georgi Guninski, uno dei più citati cacciatori di bug di Microsoft Internet Explorer) si sono cimentati con il codice del popolare browser e hanno scoperto ben 10 bug che affliggono Mozilla e i prodotti (Firefox e Thunderbird) da esso derivati.

Sicurezza e antivirus

» Aiuto! proteggete il mio computer

Si va dal cross site scripting alla possibile manipolazione di dati; dall’esposizione di dati sensibili all’accesso al sistema.
L’errore, è nell’errata gestione della memoria (le applicazioni sono scritte in C++, un linguaggio che - diversamente da altri - lascia decidere al programmatore come gestire i segmenti di memoria) e si manifesta in svariati buffer overflow (possibile sovrascrittura dei segmenti di memoria stessi). Come al solito, Secunia ha dedicato un bollettino dettagliato alle vulnerabilità in questione.

Mozilla Foundation, anziché ricorrere a patch, ha rilasciato tre nuove versioni dei software vulberabili: Mozilla 1.7.3, quel Firefox 1.0-PR già analizzato da Mytech e Thunderbird 0.8. Come al solito, in un lasso di tempo fantascientifico se confrontato alle abitudini di casa Microsoft per Internet Explorer. Ed è questa velocità di sviluppo e di patching a costituire il vero asso nella manica di Mozilla e dei suoi derivati.
Nessun problema per o quasi per l’aggiornamento, tranne il consumo di banda: le eventuali estensioni della versione sostituita vengono mantenute, e bisogna reinstallare il solo langpack per avere i menu in lingua italiana.