Notizie con etichetta “Sicurezza”

Disponibile Firefox 44.0

Logo Mozilla Firefox È disponibile la versione 44.0 di Firefox.

Da martedì 26 gennaio è iniziata la distribuzione degli aggiornamenti automatici. Se Firefox non si è ancora aggiornato potete farlo manualmente seguendo le istruzioni riportate in questo articolo della KB Mozilla.

È questo il primo aggiornamento di Firefox del 2016. Di seguito alcune delle novità principali di questa versione, per un elenco completo fate riferimento alle note di versione in inglese.

  • La novità più interessante è l’attivazione del supporto ai contenuti video WebM/VP9 nei sistemi in cui non è presente il codec H.264, che verrà utilizzato in tutti quei sistemi che lo supportano. Per ulteriori informazioni sui formati che è possibile riprodurre nativamente con Firefox vi rimandiamo a questo articolo della KB Mozilla.
  • A partire da questa versione, le notifiche Push vengono mostrate anche quando il sito che le trasmette non è caricato. Per ulteriori informazioni su Push, il nuovo standard W3C per le notifiche web, vi rimandiamo a questo articolo della KB di Firefox.
  • È stata migliorata la schermata di avviso delle connessioni sicure che non sono completamente affidabili per problemi con certificati o che utilizzano algoritmi obsoleti, considerati non più adeguati agli attuali standard di sicurezza.
  • Sempre per quanto riguarda la sicurezza delle connessioni HTTPS, è stato rimosso il supporto all’algoritmo di cifratura a flusso a chiave simmetrica RC4, ovvero un algoritmo che opera sui singoli bit utilizzando un’unica chiave sia per cifrare che per decifrare, che non rispetta gli odierni standard di sicurezza. Se una connessione HTTPS tenterà di utilizzare tale algoritmo per cifrare il flusso di dati trasmessi, Firefox visualizzerà la schermata di cui al punto precedente.
  • Sono stati inoltre rimossi due certificati di autorità di certificazione, che non rispettano gli standard molto stringenti di Mozilla in materia, nello specifico quello di Equifax Secure Certificate Authority e UTN – DATACorp SGC. Come sopra, se un sito utilizza un certificato rilasciato e convalidato con uno di questi due certificati, la connessione verrà riconosciuta come non affidabile e verrà visualizzata la schermata di avviso. Per ulteriori informazioni riguardo a come interpretare i dati mostrati nella schermata che appare quando una connessione sicura non è affidabile, vi rimandiamo a questo articolo della KB di Firefox.
  • A partire da questa versione, le build Windows utilizzeranno per la firma digitale l’algoritmo SHA-256, anziché il vecchio SHA-1.
  • Risolto un bug che impediva, su Windows XP e Windows Vista, di disattivare l’avvio dello screensaver durante la riproduzione di contenuti video.

Come al solito molte novità riguardano il supporto a nuove caratteristiche di HTML5 e gli strumenti di sviluppo web. Fra le altre cose ora è possibile analizzare l’heap utilizzando lo strumento di gestione della memoria.

Per le altre novità riguardanti gli sviluppatori, oltre che alle note di versione in lingua inglese, vi rimandiamo all’articolo di MDN che tratta l’argomento in dettaglio.

Un altro articolo incentrato sulle novità lato sviluppatori verrà pubblicato a breve anche su hacks.mozilla.org, consigliamo quindi agli interessati di controllare il feed o la homepage del sito.

Panda rossi che giocano sulla neve nello zoo di Cincinnati, Ohio
Panda rossi che giocano sulla neve nello zoo di Cincinnati, Ohio

Per qualunque problema con il nuovo aggiornamento o qualsiasi altro di natura generale con Firefox venite a trovarci sul forum, faremo del nostro meglio per aiutarvi a risolverlo.


Firefox: scoperto accesso non autorizzato ai bug di sicurezza, un ulteriore motivo per rimanere costantemente aggiornati

crashReporter-512A causa di un banale quanto tremendo errore di un utente con accessi privilegiati alla piattaforma Bugzilla, utilizzata per la gestione dei bug e lo sviluppo dei software Mozilla, è stato possibile per un aggressore esterno entrare nel portale e avere accesso a bug relativi a falle di sicurezza (notizia originale dal blog Mozilla). Di norma questi bug non sono accessibili ai normali utenti o agli sviluppatori, sono visibili solo a chi effettua la segnalazione e a un numero molto ristretto di utenti.

Bugzilla restricts access to security­sensitive information so that only certain privileged users can access it. An attacker was able to break into a privileged user’s account and download security­sensitive information about flaws in Firefox and other Mozilla products.

Informazioni dettagliate riguardo l’accaduto sono disponibili in un file PDF rilasciato da Mozilla di cui è disponibile una copia sul nostro sito. Diretta conseguenza dell’incidente è che la sicurezza delle procedure di autenticazione per gli utenti con accesso a questo tipo di bug è stata rafforzata, introducendo ad esempio l’autenticazione a due fattori.

The account that the attacker broke into was shut down shortly after Mozilla discovered that it had been compromised. We believe that the attacker used information from Bugzilla to exploit the vulnerability we patched on August 6.

L’utente in questione avrebbe sfruttato i dettagli presenti nel bug per questa falla – da notare che sono trascorse solo 48 ore dalla segnalazione alla disponibilità pubblica della versione con la correzione – per attaccare versioni non aggiornate del browser.

Per un ulteriore approfondimento vi rimandiamo all’articolo di Ars Technica (in inglese).

Noi, come sempre, vi invitiamo a tenere sempre aggiornati i vostri software, senza eccezione alcuna per quelli Mozilla che – come tutti – possono essere soggetti a errori umani, sia di sviluppo, sia di distrazione come insegna l’accaduto.

Qui trovate la pagina con il download dei prodotti aggiornati all’ultima versione.


Blocco del plugin Flash per impostazione predefinita

Al momento in Mozilla Firefox sono state disattivate per impostazione predefinita TUTTE le versioni del plugin Flash precedenti alla 18.0.0.204 in quanto considerate NON SICURE.

Questa misura di emergenza è stata presa unicamente al fine di garantire agli utenti un adeguato livello di protezione in quanto esse risultano affette da gravi problemi di sicurezza emersi nelle scorse ore: tali vulnerabilità risultano infatti già utilizzate da malintenzionati per la diffusione di virus e altri malware. Verrà dunque revocata non appena Adobe rilascerà un aggiornamento al plugin Flash.

Man mano che avremo notizie su questo argomento, avremo cura di pubblicare aggiornamenti a questo post.

Per ulteriori informazioni si rimandano gli utenti ai seguenti articoli:

12.20 – aggiornamento: alla pagina di download di Flash è disponibile la versione 18.0.0.209 che dovrebbe essere risolutiva (il bollettino di sicurezza riportato in precedenza non contiene informazioni in merito). Inoltre, non sembra al momento esistere un aggiornamento per la versione 11.2 destinata ai sistemi operativi Linux).

18.20 – aggiornamento: Adobe ha dato ulteriori notizie e sembra che le due vulnerabilità siano effettivamente risolte nella versione 18.0.0.209 per Windows/Mac. Al momento non sembra essere ancora stata rilasciata una versione patchata per Firefox su Linux.

16/07/2015 – aggiornamento: finalmente è stata rilasciata da Adobe anche una versione aggiornata del plugin per Linux.


Avviso di sicurezza: scoperta vulnerabilità critica nel plugin Adobe Shockwave

È stata scoperta una vulnerabilità classificata come critica nella versione 11.5.1.601 del plugin Adobe Shockwave e nelle versioni precedenti. Tale falla di sicurezza consente l’esecuzione di programmi sul computer in uso.

Per controllare che il plugin sia aggiornato, è sufficiente fare clic sul menu Strumenti di Firefox e scegliere la voce Componenti aggiuntivi.

shockwave

Nel pannello Plugin cercare la voce Shockwave for Director: se la versione installata è 11.5.2.602 allora il plugin è aggiornato.

Se la versione è precedente, si raccomanda a tutti gli utenti di Firefox di aggiornare quanto prima il plugin visitando il sito di Adobe.


Blocco automatico di componenti aggiuntivi pericolosi

Gli utenti dei sistemi operativi Windows potrebbero ricevere il seguente messaggio all’avvio di Firefox:

Firefox ha rilevato che i seguenti componenti aggiuntivi sono segnalati come causa di problemi di stabilità o sicurezza

e vengono indicati come bloccati i due componenti aggiuntivi Microsoft .NET Framework Assistant e Windows Presentation Foundation. Tali componenti, aggiunti automaticamente a Firefox negli scorsi mesi mediante il sistema degli aggiornamenti automatici di Windows, sono risultati affetti da gravi falle di sicurezza e perciò sono stati disattivati grazie al sistema di blocco dei componenti aggiuntivi pericolosi presente in Firefox.

Affinché la loro disattivazione divenga effettiva, occorre riavviare Firefox.

addon_disattivati

I due componenti rimarranno disattivati finché Microsoft non avrà rilasciato versioni aggiornate in cui non siano presenti tali vulnerabilità.

Per le richieste di informazioni e di supporto gli utenti possono utilizzare l’apposita sezione del nostro forum.

Aggiornamento 23/10/2009: Mozilla ha rimosso dalla blocklist sia l’estensione MS .NET Framework Assistant che il plugin  Windows Presentation Foundation in quanto è stato appurato che la vulnerabilità riguarda solo i due componenti aggiuntivi senza che venga in alcun modo intaccata la sicurezza del browser.


Avviso di sicurezza: scoperta vulnerabilità critica nei plugin Adobe Reader e Adobe Flash

Tutte le versioni di Adobe Reader e Adobe Flash (per tutti i browser e tutti i sistemi operativi) sono affette da una vulnerabilità critica che consente l’esecuzione di programmi sul computer in uso. È sufficiente visitare un sito web che ospiti un’animazione Flash o aprire un file PDF opportunamente scritto per essere attaccati; le principali società di sicurezza informatica danno già notizia di molti siti web malevoli in grado di sfruttare questa falla.

Al momento Adobe è al lavoro su nuove versioni dei plugin in grado di risolvere il problema. Nell’attesa che siano disponibili, suggeriamo agli utenti di disattivare i plugin Flash e Adobe Reader in Firefox utilizzando il menu Strumenti –> Componenti aggiuntivi, selezionando ciascuno dei due plugin e facendo clic sul tasto Disattiva.

Ulteriori informazioni sono disponibili a questa pagina.

Aggiornamento del 31/07/2009: la nuova versione del plugin Flash è stata rilasciata da Adobe. È possibile scaricarla alla pagina di download di Flash.

Aggiornamento del 01/08/2009: l’aggiornamento di sicurezza per Adobe Reader è stata rilasciato da Adobe. È possibile scaricarlo da qui.