Mozilla continua a battere il chiodo sulla sicurezza, e promette di continuare a batterlo anche con l’avvento di Firefox 4, dove piccoli e grandi accorgimenti garantiranno un maggior livello di sicurezza per l’utente. Le nuove armi di difesa di Firefox 4 sono state presentate alla conferenza Black Hat di quest’anno dal capo sviluppatore di Firefox Johnathan Nightingale.

Uno dei problemi che Mozilla vuole assolutamente risolvere in Firefox 4 è la faccenda privacy relativa ai link visitati. Il problema può sembrare tanto veniale quanto non di semplice risoluzione. Lo standard CSS2 prevede che i link “visited” abbiano un trattamento diverso (tipicamente un colore differente) rispetto a quelli ancora da visitare. Questo diverso trattamento può essere sfruttato da un codice maligno per inviare all’utente una serie di indirizzi in una pagina modificata ad hoc e leggere quanto interpretato dal browser per capire quali di questi indirizzi l’utente ha già visitato.

Continua »

Durante l’imminente Black Hat security conference si prevedono fitte nubi nere su Internet Explorer e Safari.

Jeremiah Grossman, esperto di sicurezza e capo tecnico della WhiteHat Security, ha infatti in serbo una serie di dimostrazioni sulle debolezze più gravi di tutti i browser più diffusi, con trattamenti di riguardo per Safari e Internet Explorer.

Continua »

Forse non tutti sanno che prima ancora di Google già Mozilla offriva tramite il Security Bug Bounty Program una ricompensa a quanti scoprivano bachi in grado di mettere a rischio la sicurezza del proprio browser.

Si trattava di appena 500$, poca roba rispetto ai 1.337$, che in un caso speciale sono arrivati fino a 2.000, messi in palio da Google.

Continua »

Mozilla ha bloccato un’estensione per Firefox colpevole del furto di dati degli utenti, tra cui moduli e password.

L’add-on si chiama “Mozilla Sniffer” ed è stato inizialmente caricato il 6 giugno scorso sul portale di Mozilla dedicato ai componenti aggiuntivi. Da allora è stato scaricato circa 1.800 volte mentre sono risultate attive solo 334 utenze, abbastanza comunque per far scattare l’allarme e spingere Mozilla alla disattivazione remota.

Continua »

Avete aggiornato Firefox all’ultima versione e riscontrate dei problemi nel suo funzionamento? Se nel vostro computer girano anche prodotti Symantec, potreste essere incorsi in un falso allarme ormai noto, e già risolto dai tecnici della società di sicurezza.

Il problema è dovuto al fatto che la cloud community, formata dagli utilizzatori dei software Norton, rileva come nocivi i file sconosciuti, tra cui rientrano quelli installati dall’ultima versione del browser: in particolare, le librerie dll che potrebbero essere segnalate come infette da WS.Reputation.1 sono:

• freebl3.dll;
• softokn3.dll;
• nssdbm3.dll.

Continua »

Ancora una volta il lavoro di Michal Zalewski, noto ricercatore di sicurezza, ha dato i suoi frutti.

Nella recente versione di Firefox 3.6.4, sono stati rilasciati anche alcuni importanti fix di sicurezza oltre a vari miglioramenti di stabilità.

Sembra infatti che il browser di casa Mozilla soffra di problemi nella gestione dei link aperti nella finestra o nei tab del Web browser.

Continua »

Una falla in Java metterebbe a rischio i principali browser disponibili sul mercato, ovvero Internet Explorer, Firefox e Chrome. La scoperta è stata fatta da un ingegnere di Google, Tavis Ormandy, che ha spiegato la decisione di rendere pubblica la minaccia a causa della potenziale pericolosità della stessa per gli utenti.

La falla, che riguarda tutte le versioni di Java compresa l’ultima Java SE 6 update 19, consente ad eventuali criminali di eseguire del codice bypassando qualsiasi misura di sicurezza, tanto che non basterebbe, secondo quanto si apprende, disabilitare il plugin Java per essere al riparo.

Continua »

Se ci seguite, ricorderete bene lo scalpore suscitato dall’evento informatico Pwn2Own 2010: quasi tutti i browser più usati si sono scoperti vulnerabili in poco tempo, e apparentemente senza troppi sforzi dai vari hacker di turno.

Finalmente i produttori cominciano a correre ai ripari, prima fra tutti Mozilla: il security team del browser open source ha pubblicato di recente Firefox 3.6.3, proposto in automatico agli utenti durante la normale navigazione sul Web.

Continua »

Arriva in Gran Bretagna Secure-Me, una versione blindata di Firefox messa insieme da Network Intercept per offrire un canale sicuro per l’accesso ai conti correnti e non solo. Secure-Me utilizza diverse protezioni sia a livello di rete che direttamente nel browser.

Nel browser è incluso un antivirus (Clam-AV) e un anti-keylogger. Quest’ultimo funziona in modo da simulare la pressione di lettere a caso durante la vera digitazione, rendendo di fatti le eventuali catture di tasti da parte di terzi malintenzionati un cumulo di caratteri inutili.

A livello di rete Secure-Me protegge l’utente incanalando tutto il traffico Web attraverso una rete intermedia gestita da Network Intercept. Tutti i dati vengono criptati il “cloud” si occupa di bloccare malware ed eventuali redirect anomali. Come ciliegina sulla torta la navigazione è sempre del tutto anonima e l’utente non è rintracciabile.

Continua »

La società di sicurezza russa Intevydis ha reso disponibile un exploit 0-day Windows per Firefox 3.6, ai clienti del proprio software VulnDisco Professional Pack.

VulnDisco è un add-on commerciale per il toolkit di sicurezza Canvas venduto da Immunity.

Sul forum di Immunity, lo sviluppatore Evgeny Legerov, ha comunicato l’aggiornamento di VulnDisco con l’exploit funzionante per Windows XP SP3 e Vista.

Secunia ha dedicato un advisory a questo bug, si parla di buffer overflow, che consentirebbe di ottenere il controllo remoto della macchina.

Continua »