Mozilla si è stancata di correre dietro agli sviluppatori poco attenti alla sicurezza. Mentre in passato non vi era alcun controllo sui plug-in installati con Firefox ora la linea è cambiata.

Stop ai plug-in non correttamente aggiornati, d’ora in avanti Firefox li bloccherà sino a che non verranno aggiornati!!

Il messaggio mostrato sarà il seguente:

Firefox Plugin non sicuri

In questi casi non si avrà scelta o così o si tiene Firefox non protetto!

BLACK LIST DEI PLUG-IN NON SICURI:

Mozilla ha stilato un lista, al quanto breve per il momento, di alcuni plug-in non sicuri che minano la navigazione degli utenti di Firefox.

Plug-in Firefox

La potete trovare a questo indirizzo: http://www.mozilla.com/en-US/blocklist/, come potete notare quelli più famosi sono i plug-in della Apple e il Java plug-in!

COME AGGIORNARE I PROPRI PLUG-IN:

Per poter aggiornare i nostri plug-in dobbiamo semplicemente andare su Strumenti -> Componenti Aggiuntivi -> selezionare la scheda “Plug-in” e cercare gli aggiornamenti!

Related posts:

1. È il tempo di lasciare Firefox 2!
2. Mozilla Firefox 3.0.11
3. Mozilla: 80% degli utenti usa versione vulnerabile di Adobe Flash!

Da una dichiarazione di Mike Beltzner, Mozilla’s director of Firefox, a Computer World la politica della Mozilla sugli aggiornamenti di Major Release di Firefox cambierà da oggi. Non verrà più sviluppata la versione 3.7, prevista per la metà di quest’anno ma le novità che doveva introdurre verranno rilasciate come aggiornamenti minori!

Quindi non si aspetterà più il solito tempo di sviluppo, 3 o 4 mesi ma saranno ora necessarie solamente 3 o 4 settimane per ricevere le novità.

“Abbiamo imparato moltissimo su ciò che rallenta il nostro programma, e che ci aiuterà a pianificare versioni future“, ha detto Beltzner.

“Il primo obbiettivo del futuro Firefox sarà la separazione dei processi dei plug-in dal browser“, ha detto Beltzner. Mozilla sta già lavorando ad un progetto denominato “Electrolysis” in cui Firefox eseguirà ogni scheda aperta come un processo separato. Questa idea impedisce il blocco del browser se una singola scheda va in crash.

Ricordiamo che tale funzionalità è già presente in Google Chrome!

Al momento Beltzner non si è esposto su una data futura per un rilascio ufficiale di Firefox 3.6 RC, notiamo però sulle note della Mozilla due date il 19 e il 26 Gennaio!

Questa modifica alla politica di rilascio della Mozilla sta sicuramente andando in contro alla sempre più frequente richiesta di migliorie e nuove funzionalità che un browser deve avere per rimanere a galla in questo, ora mai, pieno settore informatico.

Se non ci si aggiorna e migliora con frequenza elevata si rimane fermi!

Related posts:

1. Mozilla: utenti di Firefox 2 aggiornate alla 3!!
2. Mozilla Firefox 2.0.0.14
3. Mozilla prepara Firefox 3 RC1

Dopo alcune statistiche sono giunti ai seguenti punti:

1. Oltre 99% degli utenti che navigano sul web utilizzano Adobe Flash;
2. Uno studio ha dimostrato che l’80% degli utenti non ha Flash aggiornato all’ultima versione invece dai dati del traffico di Mozilla.com risulta che il 75% degli utenti non ha aggiornato tale plugin!

Come vi avevo parlato la settimana scorsa Mozilla, dopo aver visto questi risultati agghiaccianti, ha deciso di inserire nel recente aggiornamento di Firefox un avviso che sarebbe apparso a tutti quelli che utilizzano Flash; il risultato?? Oltre 10.000.000 di click sono stati effettuati verso la pagina di Adobe.com per permettere l’aggiornamento all’ultima versione!

Dopo questo ottimo risultato sono stati effettuati ulteriori studi sui dati acquisiti:

Grafico Visite

I dati hanno dimostrato che l’avviso di Mozilla ha sortito un bel effetto! Su questi 10 milioni di click il dato impressionante è il clicktrought, cioè la percentuale di click sul totale delle impressioni; risultato: 30%!! Davvero notevole se si tiene conto che Mozilla ha ammesso di avere un clicktrought del 5% sulle sue pagine “Whats New”, cioè la pagina mostrata dopo ogni aggiornamento di Firefox!

La sicurezza non passa di sicuro inosservata nemmeno ai meno esperti! Questo è il vero dato che emerge! Per questo motivo la Mozilla Foundation ha deciso di proseguire tale progetto, cercando di mantenere i propri utenti sempre aggiornati e al sicuro!

Related posts:

1. Mozilla: 80% degli utenti usa versione vulnerabile di Adobe Flash!
2. Mozilla: utenti di Firefox 2 aggiornate alla 3!!
3. Mozilla sistema i bug

Ad un mese dal rilascia della precedente versione, ora i laboratori della Mozilla sono tornati in funzione per risolvere alcuni problemini che non sono da sottovalutare.

La più recente versione di Firefox, la 3.5 risolve ben 4 vulnerabilità di cui 3 sono classificate con il massimo grado “Critical“; significa che tale bug può essere sfruttato per installare software maligno da remoto eseguendo codice arbitrario senza il consenso dell’utente.

Ecco l’elenco delle vulnerabilità risolte:

1. MFSA 2009-51 Chrome privilege escalation with FeedWriter
2. MFSA 2009-50 Location bar spoofing via tall line-height Unicode characters
3. MFSA 2009-49 TreeColumns dangling pointer vulnerability
4. MFSA 2009-47 Crashes with evidence of memory corruption (rv:1.9.1.3/1.9.0.14)

Stessa storia per Firefox 3 che va a risolvere le stesse problematiche, in quanto viene utilizzato lo stesso engine browser.

Consiglio quindi di effettuare gli aggiornamenti il primo possibile per evitare problemi di sicurezza! Per chi possiede Firefox 3.5 gli aggiornamenti verranno scaricati in modo automatico ed al successivo riavvio verrà installata la nuova versione!

Related posts:

1. Mozilla Firefox 3.0.11
2. Mozilla: Firefox 3.5.2 e 3.0.13
3. Mozilla: rilasciato Firefox 3.0.9

La ricerca è stata comunicata da H-online.com che ha sottolineato come in un campione di utenti circa l’80% ha una versione vulnerabile di Adobe Flash Player il più famoso plug-in attualmente in circolazione. Molti dei bug che affliggono le vecchie versione sono veramente pericolosi in quanto permettono di prendere il controllo del PC da remoto.

Per questo motivo la Mozilla Foundation ha inserito una porzione di codice, nell’ultima versione di Firefox, che avvisa l’utente di aggiornare Adobe Flash nel caso avesse una versione obsoleta!

Avviso Mozilla: Adobe update flash

Come potete vedere la pagina, creata appositamente, rimanda al sito della Adobe in cui è possibile aggiornare il plug-in.

Sito che risponde a questo indirizzo, per chi di voi lo volesse aggiornare: http://get.adobe.com/flashplayer/.

L’articolo della Mozilla finisce così:

Mozilla will work with other plugin vendors to provide similar checks for their products in the future. Keeping your software up to date remains one of the best things you can do to keep yourself safe online, and Mozilla will continue to look for ways to make that process as easy as possible for its users.

La Mozilla si impegna ad accordarsi con altri produttori per cercare di mantenere i prodotti degli utenti aggiornati e privi di rischi.

Related posts:

1. Mozilla: oltre 10 milioni gli utenti vulnerabili sistemati!
2. Opera e Flash: bug!
3. Firefox blocca i Plugin non sicuri!

Dopo un anno dal rilascio della versione precedente, la 3.0, è stata rilasciata dai tecnici della Mozilla la versione 3.5. Questa nuova versione dovrà essere all’altezza per sfidare Internet Explorer 8, il quale è uscito dai laboratori di RedMond completamente rinnovato e sopratutto sembra all’altezza dei browser moderni!

I fan di Firefox attendevano con ansia questo momento, a dire il vero i più smanettoni avevano già provato la 3.5 dato che la Mozilla aveva rilasciato da qualche giorno la versione beta; ciò significa che tutte le novità erano già presenti e mancavano solamente alcuni test e feedback.

INSTALLAZIONE O AGGIORNAMENTO:

Come installare Firefox 3.5: se utilizziamo già la versione 3.0.x di Firefox non ci basta far altro che andare in barra dei menù -> Aiuto -> Controlla aggiornamenti; seguite la procedura automatica e in poco tempo (dipende dalla connessione ad internet, ndr) verrà scaricato il pacchetto (peso complessivo del file 10.0 MB, ndr) ed installato.

Aggiornamento a Firefox 3.5

Mentre se non utilizzate Firefox potete accedere alla sezione download del sito ufficiale Mozilla e scaricare la nuova versione del browser nella vostra localizzazione.

NUOVE FUNZIONI e AGGIORNAMENTI:

Veniamo ora ai nuovi aggiornamenti, prima di tutto le potenzialità. Firefox 3.5 migliora le sue qualità di browser in quanto introduce il supporto a nuovi standard Web.

Supporto agli elementi <video> e <audio> di HTML5, incluso il supporto nativo ai video con codifica Ogg Theora e all’audio con codifica Vorbis. Potete eseguire un test a questa pagina. Migliorato il motore Gecko (il cuore del browser, ndr) per potenziare l’elaborazione delle pagine web.

Questi miglioramenti sono davvero effettivi in quanto la navigazione con Firefox 3.5 si è notevolmente velocizzata. Questo sito web utilizza WordPress per funzionare e da quando utilizzo la nuova release l’utilizzo di tale script sembra aver ottenuto un’iniezione di potenza!

Con l’introduzione del supporto nativo a molte potenzialità dell’HTML 5 Firefox fa’ un grosso passo in avanti, per conoscere tutte le novità (ovviamente per i più esperti!) potete accedere alla sezione Developer di Mozilla.

Migliorata la gestione del Javascript, inserendo il nuovo motore di rendering TraceMonkey. Tale motore è stato sviluppato tramite una tecnica di UC Irvine.

Passando nel campo sicurezza Firefox ha finalmente introdotto una funzione molto utile: “Navigazione Anonima“. Cosa che su Internet Explorer 8 è già presente come InPrivate Browsing.

Per attivare tale funzione, su Firefox, vi basta andare nella barra dei menù -> Strumenti -> Avvia navigazione anonima. Oppure utilizzare la scorciatoia da tastiera “CTRL+MAIUSC+P”.

Firefox 3.5: Navigazione anonima

Questo vi permetterà di aprire una nuova finestra con attivate le funzioni di navigazione anonima. Come vi avevo già specificato la navigazione anonima non significa che sarete anonimi in rete ma che non lasciate tracce delle vostra navigazione sul vostro PC!!

Una novità molto interessante per gli sviluppatori è stata introdotta nella pagina di visualizzazione del codice sorgente di Firefox, ora è possibile cliccare sui link del codice HTML!

Purtroppo ho notato che molte add-ons per Firefox 3.0 non sono più compatibili con la 3.5 e non tutti gli sviluppatori hanno provveduto a sistemare il problema. Così può capitare che estensioni non molto famoso non siano aggiornate per funzionare sulla nuova release!

TEST ACID 3:

Il famoso Test Acid 3 ho voluto effettuarlo anche su questa nuova versione di Firefox, come potete notare dall’immagine qui sotto questa volta Firefox ottiene un ottimo punteggio un bel 93/100.

Firefox 3.5: Test Acid 3

La classifica si aggiorna così:

Browser, Versione, Sistema Operativo, Punteggio:

Opera Core (non è un browser è solo in testing, Windows XP SP2, 100/100
Mozilla Firefox, 3.5, Windows Vista SP1, 93/100
Opera, 9.5, Windows XP SP2, 83/100
Apple Safari, 3.1, Windows XP SP2, 77/100
Mozilla Firefox, 3 RC2, Windows XP sP2, 70/100
Mozilla Firefox, 3.0b5, Windows XP SP2, 69/100
Mozilla Firefox, 3.0b4, Windows XP SP2, 65/100
Mozilla Firefox, 3.0b3, Windows XP SP2, 59/100
Mozilla Firefox, 2.0.0.12, Windows XP SP2, 52/100
Opera, 9.27, Windows XP SP2, 46/100
Opera, 9.26, Windows XP SP2, 45/100
Microsoft Internet Exploer, 8.0, Windows Vista SP1, 20/100
Microsoft Internet Explorer, 8.0b1, Windows XP SP2, 17/100
Microsoft Internet Explorer, 7.0.5730.11, Windows XP SP2, 12/100

Bisogna dire che la Mozilla ha fatto davvero passi in avanti!

Se volete rimanere aggiornati su quanti download sono stati effettuati di Firefox 3.5 la Mozilla ha preparato un’apposita pagina: http://downloadstats.mozilla.com/.

Al momento in cui scrivo il totale, nel mondo, ha raggiunto quota 4.070.000, solo in Italia siamo a quota 113.000!!

Related posts:

1. Firefox 3 RC2 e Test ACID 3: + 5 punti, sarà vero?
2. Mozilla prepara Firefox 3 RC1
3. Firefox 3 RC1 codice completo

Come solito i tecnici Mozilla hanno rilasciato il bollettino con il riassunto degli avvisi degli aggiornamenti per la sicurezza inseriti in Firefox 3.0.11.

Sono nove le vulnerabilità sistemate con questa nuova versione, tra cui ce ne sono quattro classificate con il massimo grado di pericolosità.

Mozilla Firefox

Ecco l’elenco delle vulnerabilità:

• MFSA 2009-32 JavaScript chrome privilege escalation
• MFSA 2009-31 XUL scripts bypass content-policy checks
• MFSA 2009-30 Incorrect principal set for file: resources loaded via location bar
• MFSA 2009-29 Arbitrary code execution using event listeners attached to an element whose owner document is null
• MFSA 2009-28 Race condition while accessing the private data of a NPObject JS wrapper class object
• MFSA 2009-27 SSL tampering via non-200 responses to proxy CONNECT requests
• MFSA 2009-26 Arbitrary domain cookie access by local file: resources
• MFSA 2009-25 URL spoofing with invalid unicode characters
• MFSA 2009-24 Crashes with evidence of memory corruption (rv:1.9.0.11)

Come potete vedere dalla colorazione del testo, quelle in rosso sono quelle classificate come “Critical”, cioè Critica.

Tra queste, forse, quella più pericolosa è la MFSA 2009-32, relativa ad un bug scovato nel Javascript. Tramite questo bug è infatti possibile eseguire codice sul browser della vittima con i massimi privilegi. Per questa vulnerabilità verranno aggiornati sia SeaMonkey che Thunderbird.

L’aggiornamento verrà installato in automatico dal browser, nel caso non fosse ancora stato scaricato provvedete ad effettuare manualmente l’aggiornamento andando su: DOWNLOAD.

Related posts:

1. Mozilla: rilasciati Firefox 3.5.3 e 3.0.14
2. Mozilla: Firefox 3.5.2 e 3.0.13
3. Mozilla: rilasciato Firefox 3.0.9

L’articolo in cui ho letto la notizia lo potete trovare su Punto-Informatico.it.

Inserito l’indirizzo all’articolo originale voglio proprio commentare questa storia, partendo con un piccolo riassunto.

IL FATTO:

Due dei più famosi programmatori di add-ons per Firefox, parlo di NoScript il cui programmatore è Giorgio Maone e di AdBlock Plus il cui programmatore è Wladimir Palant, hanno fatto parlare di se (e direi non proprio bene) per quello che hanno fatto.

Come tutti gli utilizzatori di NoScript sanno ad ogni aggiornamento dell’add-ons (e ce ne sono davvero tanti in un anno) al riavvio successivo del browser viene aperto la pagina principale del sito di Maone. Sito pieno di banner pubblicitari, tale azione, quindi, porta notevole visibilità a tale pagina.

Qui entra in gioco AdBlock Plus che si è visto obbligato (penso io, ndr) a inserire nella sua blacklist il sito del famoso add-ons. Questo quindi porta la notevole visibilità delle pagine di No-Script a diventare inutile dato che AdBlock Plus ne blocca i banner pubblicitari.

Giorgio Maone ha quindi (come è semplice intuire) voluto controbattere a tale azione ed ha modificato i suoi banner per risultare neutrali alle azioni di blocco di AdBlock Plus. Da parte sua Palant ha stretto la morsa sul sito di No-Script per bloccare di nuovo i banner.

Così a No-Script è stata aggiunta qualche riga (malefica aggiungerei io, ndr) per impedire il corretto funzionamento di AdBlock Plus se installato nello stesso browser.

Dopo tutte questa vicissitudini Palant ha deciso di rendere tutto pubblico tramite questo post sul Blog di AdBlock Plus. Articolo il cui titolo illustra chiaramente l’oggetto del messaggio: Attention NoScript users.

Anche Maone ha risposto con altrettanto fomento sul suo portale Hackademix.net. Giustamente la Mozilla è dovuta intervernire personalmente per limitare i danni, ma sopratutto per regolamentare tassativamente tali situazioni, le quali non si devono più verificare; il tutto è disponibile in questo post sul Blog di Mozilla Add-ons intitolato: No Surprise.

IL MIO PARERE:

Dopo aver raccontato i fatti, come si sono svolti (ovviamente ho estrapolato il succo dall’articolo di Alfonso Maruccia, ndr) voglio dire un mio parere.

Da anni utilizzo il bellissimo e utilissimo script di Giorgi Maone; è veramente uno add-ons in grado di salvarti dal 80% dei pericoli della pagine web. Trovo però davvero sgradevole l’azione, obbligata, che ad ogni aggiornamento porta all’apertura della Home Page del sito di No-Script.

Sono sicuro, dato che bazzigo da un po’ in questo mondo, che la vita del programmatore open source alias ‘a gratis’ (come si dice dalle mie parti) non sia facile. Programmare e impegnare il proprio tempo per avere solo il successo e niente quattrini non è molto confortante. Però dato il numero di utenti che utilizza No-Script circa 600.000 download alla settimana (fonte: https://addons.mozilla.org/it/firefox/addon/722) le impressioni dei banner secondo me superano di parecchio quello che un programmatore può volere solo per ripagare il tempo perduto…

Comunque lasciando perdere i miei pareri e parlando oggetivamente posso solo dire che le azioni perpetrate da Giorgi Maone meritano di essere punite dalla comunità! Dall’altra parte non trovo nessun motivo per incolpare AdBlock; lo script si occupa di oscurare i banner pubblicitari troppo invasivi e quindi non può fare differenze da un sito all’altro. Che poi si sia creato un certo disappunto personale tra i due programmatori quelli sono affari che devono sbrigare da loro in privato!!

Come avrete capito ho sempre ammirato il lavoro di Maone e adoro No-Script ma questa proprio poteva evitarla!!

Related posts:

1. Mozilla: Firefox 3.5.2 e 3.0.13
2. Mozilla: aggiornamento critico per Firefox 3!
3. Mozilla prepara Firefox 3 RC1

FIREFOX 3.0.10 AGGIORNAMENTO URGENTE:

Come ho scritto nel testo di introduzione alla notizia: la Mozilla si è vista obbligata a rilasciare un aggiornamento di gran fretta per sistemare un problema causato da una fix di correzzione rilasciata con la precedente versione, la 3.0.9.

Firefox 3.0.10 serve quindi solamente a risolvere un problema; come si può leggere dalle note di rilascio il bug risolto è relativo all’avviso MFSA 2009-23; il quale spiega come una patch della precedenete release riusciva a causare pericolosi e noiosi crash di sistema:

One of the security fixes in Firefox 3.0.9 introduced a regression that caused some users to experience frequent crashes. Users of the HTML Validator add-on were particularly affected, but other users also experienced this crash in some situations. In analyzing this crash we discovered that it was due to memory corruption similar to cases that have been identified as security vulnerabilities in the past.

Traducendo, in poche parole, : Una delle fix di sicurezza introdotte con Firefox 3.0.9 ha inserito una regressione che ha causato in alcuni utenti frequenti crash. Molti di questi utenti erano utilizzatori dell’estensione “HTML Validator” per questo, per loro, il crash risultava più frequente. Ma le situazioni potevano essere anche diverse. Il motivo della causa è stato localizzato in una corruzzione di memoria, molto, simile ad un caso già risolto in passato.

Per questo è stato facile e veloce ai tecnici della Mozilla risolvere il problema.

L’aggiornamento vi verrà installato in modo automatico secondo la solita procedura:

1. Andate in Barra dei menù -> ‘?’ -> ‘Controlla aggiornamento…’;
2. Se il primo metodo non funziona andate su GetFirefox.com e scaricate la nuova versione!!

Related posts:

1. Mozilla: aggiornamento critico per Firefox 3!
2. Mozilla Firefox 3.0.2 e 2.0.0.17
3. Mozilla: utenti di Firefox 2 aggiornate alla 3!!

La nuova versione del software è stata rilasciata nella giornata di ieri, per tanto in queste ore il sistema automatico di aggiornamento provvederà a scaricare il pacchetto e ad installarlo.

Se entro un paio di giorni l’aggiornamento non dovesse partire avete due modi:

1. Andate in Barra dei menù -> ‘?’ -> ‘Controlla aggiornamento…’;
2. Se il primo metodo non funziona andate su GetFirefox.com e scaricate la nuova versione!!

Ecco la lista dei problemi di sicurezza risolti con questa release:

MFSA 2009-22 Firefox allows Refresh header to redirect to javascript: URIs
MFSA 2009-21 POST data sent to wrong site when saving web page with embedded frame
MFSA 2009-20 Malicious search plugins can inject code into arbitrary sites
MFSA 2009-19 Same-origin violations in XMLHttpRequest and XPCNativeWrapper.toString
MFSA 2009-18 XSS hazard using third-party stylesheets and XBL bindings
MFSA 2009-17 Same-origin violations when Adobe Flash loaded via view-source: scheme
MFSA 2009-16 jar: scheme ignores the content-disposition: header on the inner URI
MFSA 2009-15 URL spoofing with box drawing character
MFSA 2009-14 Crashes with evidence of memory corruption (rv:1.9.0.9).

Solamente quelli sottolineati sono stati classificati pericolosi per il sistema operativo su cui è installata la macchina.

Come si può leggere il rapporto MFSA2009-14 rappresente una corruzzione di memoria con esecuzione di codice da remoto, questo può benissimo portare un utente malintenzionato ad eseguire codice sul PC della vittima da remoto.

Altri aggiornamenti sono avvenuti sul lato della stabilità: sono stati sistemati problemi del software relativamente ad alcuni errori i quali provocavano notevoli disturbi all’utente.

Potete leggere tutte le note di rilascio su questa pagina: NOTE DI RILASCIO FIREFOX 3.0.9.

Related posts:

1. Mozilla Firefox 3.0.11
2. Mozilla Firefox 3.0.2 e 2.0.0.17
3. Mozilla: rilasciati Firefox 3.5.3 e 3.0.14