È un risultato che farà discutere, ma secondo uno studio pubblicato dalla società specializzata in sicurezza informatica Cenzic è Firefox a detenere il primato in quanto a numero di vulnerabilità.

La ricerca riguarda i primi sei mesi del 2009 e vede Firefox attestarsi solidamente al comando: il 44% di tutte le vulnerabilità scoperte nei browser hanno riguardato il figlio prediletto di Mozilla, mentre al secondo posto staccato di 9 lunghezze si è posizionato Safari di Apple (35%). Per trovare Internet Explorer bisogna andare al gradino più basso del podio: solo il 15% delle vulnerabilità appartiene al browser di mamma Microsoft. Fanalino di coda è Opera che con un misero 6% fa appena in tempo a non essere escluso dalla classifica.

Ironia a parte, è lo stesso CTO di Cenzic Lars Ewe che spiega come leggere questa classifica e perché il primato di Firefox non significhi che il panda rosso sia effettivamente il meno sicuro.

Continua »

Mozilla Foundation ha provveduto ad un doppio rilascio: Firefox 3.5.2 e Firefox 3.0.13. Entrambe le versioni di questo browser erano infatti affette da problemi di sicurezza abbastanza gravi e comuni a entrambe le versioni.

Sia Firefox 3.5.x che 3.0.x infatti presentano un problema legato ad una particolare combinazione di utilizzo dei metodi Windows.open() e document.write(). Questi, se utilizzati secondo lo schema indicato nel bug-post segnalato da Juan Pablo Lopez Yacubian, consentirebbero l’iniezione di codice e contenuti Web “spoofati”, e non provenienti quindi dalla sorgente (URL) in uso. Situazione che diventa ancor più grave nel contesto HTTPS/SSL.

Continua »

Siamo abituati a sostenere che il software libero/aperto sia più sicuro delle controparti proprietarie in virtù del fatto che un maggior numero di persone può analizzarne i sorgenti ed, eventualmente, individuarne bug.

Nessuno si scandalizzerà quindi scoprendo che nel 2008 sono state riportate ben 115 vulnerabilità di Firefox, mentre la concorrenza (rappresentata da Internet Explorer, Safari e Opera) rimane attestata attorno alla trentina.

Continua »

Firefox ha un buco e anche abbastanza grosso. E non c’è scusa che tenga, neanche che per sfruttare la falla bisogna usare Internet Explorer: è un difetto di progettazione, non un baco qualsiasi.

Il problema si presenta solo su Windows ed è principalmente rappresentato dall’URI “firefoxurl://” che viene registrato in Windows durante l’installazione. Quando Internet Explorer incontra un indirizzo di questo tipo carica automaticamente Firefox e gli passa l’indirizzo. Peccato che Firefox si dimentichi di effettuare qualsiasi controllo, lasciando all’indirizzo passato la possibilità di effettuare qualsiasi tipo di operazione tramite JavaScript, sfruttando anche le funzioni avanzate del browser: è possibile addirittura creare un nuovo profilo utente o installare nuove estensioni senza interpellare l’utente.

Continua »