Letta 2911 volte 4 agosto 2007 alle 21.37 di netquik Fonte: Varie
Black Hat: Mozilla "jsfunfuzz" e Firefox 3
LINK:
Come previsto, due giorni fa Window Snyder e Mike Shaver di Mozilla Foundation hanno presentato durante una sessione della conferenza Black Hat USA 2007 alcuni nuovi strumenti di sicurezza open-source utilizzati finora dagli sviluppatori dell'azienda per testare i suoi prodotti, ed hanno nel contempo mostrato i miglioramenti nella protezione che saranno offerti da Firefox 3, atteso al rilascio finale entro fine anno.

Questi tool utilizzati da Mozilla per testare il proprio browser Firefox possono essere utilizzati anche per lo stress-testing di altri software browser come Microsoft Internet Explorer, Apple Safari e Opera. Si tratta di applicazioni "fuzzer", una tecnica comunemente utilizzati dagli esperti di sicurezza per simulare condizioni comuni nell'ambito delle quali i browser vanno in crash. Questo permette di isolare bug, ed eventualmente svelare vulnerabilità "attaccabili". Gli strumenti di sicurezza mostrati da Mozilla includono due "protocol fuzzer" realizzati in collaborazone con i vendor Leviathan e Matasano, ed un "Javascript fuzzer" programmato da Jesse Ruderman. Quest'ultimo strumento è stato contestualmente reso disponibile pubblicamente sul web.

links e news Black Hat: Mozilla Rilascerà un "Fuzzer"  -  Firefox 3 "Gran Paradiso" Alpha 7 (M7) 

Mozilla ha utilizzato il fuzzer Javascript per isolare e correggere dozzine di bug di sicurezza nel motore Javascript di Firefox, nello specifico 280 bug, di cui 27 erano risultati sfruttabili per eventuali attacchi di esecuzione codice (due terzi di tutti i bug scoperti sono già stati corretti in Firefox). Il rilascio del fuzzer per Javascript sarà seguito più avanti nel corso dell'anno da quello dei fuzzer dedicati allo stress-testing dei protocolli HTTP e FTP. Secondo quanto riportato da Snyder, i "protocol fuzzer" agiscono come finti server che inviano dati corrotti ai siti: il fuzzer HTTP emula un server HTTP per testare la gestione da parte del browser di input non previsti; allo stesso modo il fuzzer FTP viene sfruttato per verificare la gestione di dati non previsti da parte di un client FTP.

Mozilla ha contattato Microsoft, Apple, e Opera prima di rendere disponibile pubblicamente il fuzzer JavaScript, con lo scopo di ridurre l'esposizione dei browser di questi vendor a vulnerabilità critiche. Sembra che tutte tre le aziende abbiano testato il tool ed abbiano dato il proprio benestare alla release pubblica. A questo proposito segnaliamo che Opera ha rilasciato giorni fa una nuova build beta del suo browser, Opera 9.23 Beta (Build 8805), che va a correggere proprio 4 "crash" isolati utilizzando il tool di Mozilla. Uno di questi bug, afferma l'Opera Desktop Team in un blog-post dedicato, poteva avere ulteriori implicazioni relative alla protezione.

Infine segnaliamo che Jesse Ruderman ha pubblicato sul suo blog personale vari dettagli sul suo tool Javascript fuzzer, chiamato "jsfunfuzz". Ruderman evidenzia che il tool verifica il linguaggio del motore Javascript stesso e non il DOM (questo significa che funziona con caratteristiche di linguaggio come funzioni, oggetti, operatori, garbage collector, piuttosto che con oggetti DOM accessibili tramite "window" o "document"). Ulteriori dettagli su jsfunfuzz e link per download sono disponibili sul blog di Ruderman.

Durante la sua presentazione "Building and Breaking the Browser" Mozilla ha voluto anche offrire uno sguardo ad alcune delle funzionalità di sicurezza che saranno integrate in Firefox 3. La nuova major version del browser, di cui è stata rilasciata una nuova Alpha 7 proprio alcune ore fa, includerà rinnovate funzioni di protezione contro phishing e malware, validazione estesa dei certificati, una migliorata gestione delle password, ed una interfaccia utente di sicurezza. Firefox 3 infatti non sarà solo in grado di avvisare l'utente nel caso si stia per approdare su un sito non sicuro, ma potrà anche bloccare l'accesso al sito stesso. Mozilla ha anche colto l'occasione per discutere in generale il tema delle vulnerabilità, le modalità di correzione adottate dai vendor e, in particolare, la rapidità con cui questi riescono a fornire i fix agli utenti finali. Come riportata da Snyder in una intervista, ci sono circa 10.000 utenti che scaricato regolarmente quelle che vengono chiamate "nightly build" del browser open-source. Quando il team di Mozilla implementa fix di sicurezza in una build nightly, ci sono 10.000 utenti che testano queste correzioni su una vasta gamma di macchine e configurazioni. Mozilla è quindi in grado di eseguire un roll-out delle patch molto più rapido e senza troppe complicazioni.
 Mostra 6 commenti alla news nel forum
username:   password:
oppure con Log in with FacebookLog In with Google
   ricordami
non fai parte della community?
 Esegui l'accesso per commentare questa notizia nel forum 
 
DUST FROM THE PAST
Mozilla ha reso disponibile la prima Release Candidate (RC1) di Firefox 1.5.0.1, primo aggiornamento per la nuova versione del famoso browser open-source rilasciata a fine Novembre scorso. News ->…16 gennaio 2006
Mozilla ha rilasciato Firefox 1.5.0.1, primo stability e security update per la nuova versione del popolare browser open-source rilasciata a fine Novembre scorso. News correlate -> Mozilla Firefox… 2 febbraio 2006
Mozilla Developer News ha pubblicato una schedule preliminare per le prossime release di sicurezza e stabilità in programma presso l'azienda. Firefox 1.0.8 e Mozilla Suite 1.7.13 sono previsti al rila…18 febbraio 2006
ULTIME NEWS - FIREFOX
Mozilla ha in programma un'ultima importante novità per Firefox 3.5 (conosciuto in codice come Shiretoko), la prossima major version del suo popolare browser open-source: una rinnovata e ottimizzata i…18 maggio 2009
Mozilla ha rilasciato Firefox 3.0.10, ottavo aggiornamento di stabilità e sicurezza per la nuova versione del suo popolare browser open-source. La nuova versione introduce correzioni per una vulnera…28 aprile 2009
Come previsto, e ancor prima di quanto anticipato, Mozilla ha rilasciato Firefox 3.0.9, settimo aggiornamento di stabilità e sicurezza per la nuova versione del suo popolare browser open-source. La nu…22 aprile 2009
 ONLINE
OSPITI 4
UTENTI 0
VISITE OGGI
8
 VISITE TOTALI
5.762.993
login
username:
password:
oppure con Log in with FacebookLog In with Google
ricordami
Non fai parte della community?
Creative Commons License Valid CSS!Valid HTML 4.01 Transitional
 
NEWS - TRUCCHI - DOWNLOAD - ARTICOLI - SITO - DISCLAIMER
X