05 Novembre 2019
Aggiornamento 21/06:
Mozilla ha rilasciato una nuova patch che corregge un'altra vulnerabilità zero-day. Il bug (CVE-2019-1178), combinato con il precedente, poteva consentire l'esecuzione di codice malevolo sul sistema della vittima. Nel caso specifico, secondo quanto riferito da ZDnet, la doppia falla sarebbe stata sfruttata da un gruppo di hacker nel tentativo di entrare in possesso dei dati dei dipendenti di Coinbase.
Utilizzando la tecnica del phishing, i malintenzionati inviavano e-mail contenenti link che, se aperti in Firefox, davano il via al download e alla successiva esecuzione di un malware che individuava e sottraeva le password del browser ed altri dati personali. L'attacco è stata sviluppato per risultare efficace sia su sistemi Windows, sia su quelli Mac ed ha preso di mira anche altre organizzazioni che si occupano di critpovalute.
La seconda falla è stata corretta con il rilascio di Firefox 67.0.4 e Firefox ESR 60.7.2. Anche in questa occasione è consigliabile scaricare la più recente versione del browser per non correre alcun rischio.
Articolo originale - 19/06
Mozilla ha corretto una vulnerabilità zero-day di Firefox: dopo il recente cambio di logo, è tempo di pensare alla sicurezza del browser chiudendo in tutta fretta la grave falla (CVE-2019-11707) scoperta da Samuel Groß, membro del team Project Zero di Google e di quello che si occupa di sicurezza per conto di Coinbase. Il team di Mozilla fornisce una stringata descrizione del problema: "Una vulnerabilità type confusion si può verificare manipolando gli oggetti JavaScript a causa di problemi in Array.pop". Il risultato finale si traduce in un crash sfruttabile dai malintenzionati.
Mozilla (per ovvie ragioni) non dice in che modo la vulnerabilità può essere usata, ma aggiunge che è al corrente di attacchi mirati che la sfruttano. La circostanza che l'autore della scoperta faccia parte del team di sicurezza di Coinbase ha alimentato l'ipotesi che obiettivo degli attacchi sia entrare in possesso di criptovalute - il sito offre, appunto, servizi di acquisto, vendita e gestione dei portafogli di criptovalute - si tratta però di una teoria non confermata ufficialmente né da Mozilla, né dallo stesso Groß.
La falla è stata chiusa con il rilascio di Mozilla Firefox 67.0.3 e Firefox ESR 60.71. Considerata la gravità, è consigliabile procedere all'aggiornamento. La più recente versione può essere scaricata collegandosi al sito ufficiale o, se il browser è già presente nel sistema, tramite il percorso Impostazioni (menu hamburger nell'angolo in alto a destra) -> Preferenze -> Aggiornamenti di Firefox -> Controlla Aggiornamenti.
Commenti
ma in produzione non ha senso usare firefox di 1 anno fa.
anzi e' controproducente, perche' i clienti non useranno firefox ESR ma stable, quindi anche tu sviluppatore non ha senso che lo usi.
sulle distro linux? infatti debian non ha senso che ha debian ESR (e' forse l'unica distro con ESR),
se la usi per il server, un browser non ti serve a niente, per uso desktop, ESR e' solo uno svantaggio.
comunque sia stable non e' una beta, e' una versione stabile e testata.
l'unico momento in cui poteva avere senso ESR era il post quantum, dove alcune estensioni non andavano piu', ma ormai anche ESR ha gli stessi "problemi", quindi non ha davvero alcun senso usarla
è una versione senza codice proprietario o chiuso, è basata su una versione più vecchia solo perchè è più controllata rispetto a quella ufficiale, visto anche che è indirizzata per progetti terzi (tor-browser es) e per distro linux da produzione
fatto
Quindi te l’ha raccontata mio cugino? Quello che lavora in ospedale dove ti sei rivolto per togliere il “tappo “
T'apposto?
Esatto!
Guernica di Picasso.
https:// t .co/8DYFsHh6Xa
Vulnerabilità?
https:// t .co/8DYFsHh6Xa
Cosa hai apposto? Un quadro?
Strafattissimo
La Volpe fa a Fuoco.
aggiornato, grazie! :)
tor?
Sempre più fatto, ormai mi faccio ogni giorno un aggiornamento con firefox...
Falla girare
ma che senso ha usare firefox ESR? me lo sono sempre chiesto, e' una versione vecchia, meno performante, e con meno feature... in cambio cosa hai? potenzialmente una maggior stabilita'? ma tanto quando mai capita di avere problemi di stabilita' con firefox stable che non sono presenti in ESR? anzi a causa delle minori feature e performance peggiori, ho avuto piu' problemi con ESR che ne con l'ultima stable
e si lo sto informando che è uscito l'altro
ripigliati!
Il suo commento era di 2 giorni fa ;)
sono 2 update, oggi è uscito l'altro
aspetto la nuova icona da giorni
Strafatto
fatto
Se cerchi qualcosa come quello integrato in Chrome, puoi anche smettere di cercare, perché non esiste un traduttore che funzioni così bene su Firefox. Tuttavia, ci sono quelli che sfruttano Google Traduttore per tradurre la pagina in una nuova scheda, e mettono a disposizione un pop-up per la traduzione rapida del testo copiato. Fatti un giro nello store, ce ne sono tanti.
Messi insieme siete strafatti
Io uso Tap Translate
Ma farsi da solo col gel pare un pò brutto.
Hai fatto bene :p
Esiste un traduttore di lingue che funzioni per Firefox su Android ?
Io mi sono fatto oggi
semplicemente perche' ancora quel logo non e' uscito sulla release.
HDBlog ha accelerato un po i tempi, facendo credere che fosse gia cosi' in firefox attuale, ma in realta' no.
infatti in rete nessuno (o quasi) ne parla
Ho aggiornato ma l'icona è sempre quella vecchia.
Fatto da ieri.
letto e riavviato! :)
era già tutto pronto...