Dopo la scoperta di oltre 500 certificati SSL fasulli rilasciati da DigiNotar, Mozilla è corsa ai ripari, rilasciando in questi giorni le versioni aggiornate dei due suoi software più popolari e diffusi presso il pubblico: il programma per la navigazione Firefox e il client di posta elettronica Thunderbird.
Per quanto riguarda il browser, l’aggiornamento ha portato alle release di Firefox 6.0.2 e 3.6.22, mentre per quanto riguarda il client di posta è partita la distribuzione delle versioni Thunderbird 6.0.2, 7.0 beta e 3.1.14.
Continua »
E’ stata rilasciata la versione 9.0.597.107 di Chrome. Google ha corretto ben 19 vulnerabilità, di cui solo 3 non gravi – ma nessuna ha raggiunto il livello “critico”.
Come sta accadendo spesso ultimamente, 15 di questi bug sono stati identificati da ricercatori esterni a Google: seguendo l’esempio di Mozilla, Big G ha deciso da un po’ di tempo di pagare chiunque sveli errori e falle nel codice del suo Chrome. Continua »
Anche grazie a una precisa sollecitazione in arrivo dalla Federal Trade Commission, Mozilla implementerà su Firefox un sistema per impedire ad alcuni siti Web di tenere traccia dei comportamenti degli internauti in maniera automatica.
Continua »
Tor, The Onion Routing project, permette l’instradamento dei pacchetti dati (filtrati) tra sorgente e destinazione attraverso un insieme di server “anonimizzatori”, che in pratica facciano perdere le tracce dei due estremi della comunicazione; tipicamente viene utilizzato per rendere anonimo lo scambio dati tra browser e webserver.
Torbutton, come leggiamo dal sito di Mozilla Addons, è un pulsante per attivare e disattivare in modo sicuro l’uso di Tor in Firefox; gestisce la navigazione con Tor impedendo inoltre che il browser salvi informazioni della navigazione (quali cookie, history, cache, password e via discorrendo).
Continua »
Il team di Mozilla ha comunicato di aver rilasciato alcuni aggiornamenti riguardanti la sicurezza per alcuni dei propri software, tra cui vi è anche il popolarissimo browser Firefox.
Con il rilascio delle versioni aggiornare Firefox giunge così alle release 3.6.13 e 3.5.16, beneficiando della correzione di 13 vulnerabilità, alcune delle quali, ovvero 11 in tutto, classificate come “Critiche”.
Continua »
Mozilla ha rilasciato da pochissime ore Firefox 3.6.12 e 3.5.15, due nuove release per il suo browser rese necessarie dalla scoperta di una grave vulnerabilità presente nelle versioni precedenti rilasciate solo alcuni giorni prima al pubblico.
Infatti, proprio nella giornata di ieri era stato scoperto in Firefox 3.6.11 e Firefox 3.5.14 una grave falla zero-day in grado di portare all’installazione di un trojan che avrebbe a sua volta potuto causare la perdita del controllo della macchina da parte dell’utente, con il rischio che questa entrasse a far parte di una botnet.
Continua »
Security Tool, uno tra i più noti rogue antivirus, è tornato di prepotenza tra quelli maggiormente diffusi e più facilmente in grado di infettare i computer degli utenti, grazie ad un recente
attacco in cui il malware ha sfruttato gli avvisi per la navigazione sicura dei browser Firefox e Chrome.
Continua »
L’ultimo rilascio del ramo 3.6 del browser di casa Mozilla, Firefox 3.6.9, contiene il supporto allo header di risposta HTTP X-FRAME-OPTIONS, che, inserito dal webserver, istruisce il browser se visualizzare o meno in iframe contenuti nella pagina Web corrente la risorsa richiesta.
Come ben dimostrato dal video in chiusura, il clickjacking è una tecnica di cracking, concettualmente simile al cross-site request forgery, che permette ad utenti autenticati in una data applicazione (ad esempio Facebook) di compiere azioni involontarie nella stessa applicazione (di qualsiasi genere) a mezzo di azioni svolte (click) su pagine Web esterne appositamente studiate.
Continua »
Firefox 4 Beta 5 ha introdotto la compatibilità con il response header HTTP Strict Transport Security, attualmente allo stato di draft allo IETF, al fine di aumentare la sicurezza delle connessioni Web tra client (browser) e server (webserver).
Tale header viene inviato dal webserver al browser quando la comunicazione tra le parti debba esser sostenuta solamente via HTTP su SSL (informalmente chiamato HTTPS) per l’intero dominio.
Continua »
Mozilla continua a battere il chiodo sulla sicurezza, e promette di continuare a batterlo anche con l’avvento di Firefox 4, dove piccoli e grandi accorgimenti garantiranno un maggior livello di sicurezza per l’utente. Le nuove armi di difesa di Firefox 4 sono state presentate alla conferenza Black Hat di quest’anno dal capo sviluppatore di Firefox Johnathan Nightingale.
Uno dei problemi che Mozilla vuole assolutamente risolvere in Firefox 4 è la faccenda privacy relativa ai link visitati. Il problema può sembrare tanto veniale quanto non di semplice risoluzione. Lo standard CSS2 prevede che i link “visited” abbiano un trattamento diverso (tipicamente un colore differente) rispetto a quelli ancora da visitare. Questo diverso trattamento può essere sfruttato da un codice maligno per inviare all’utente una serie di indirizzi in una pagina modificata ad hoc e leggere quanto interpretato dal browser per capire quali di questi indirizzi l’utente ha già visitato.
Continua »
