• Firefox è il browser con più vulnerabilità

    Firefox, il browser open source di Mozilla, continua imperterrito a guadagnare quote di mercato e consensi un po’ da tutti quelli che lo usano, ponendosi come il programma per la navigazione più interessante tra le varie alternative, pur buone, proposte dal mercato.

    Molti giudizi positivi sono dovuti a qualità come, ad esempio, le enormi possibilità di personalizzazione del programma date dall’utilizzo dei plugin, le prestazioni e la compatibilità garantita con i più moderni standard Web, nonché l’aspetto relativo alla sicurezza, una caratteristica che ha contribuito alla fama e al successo di Firefox.

    Tuttavia, l’aspetto della sicurezza, che forse più di ogni altro ha fatto diventare Firefox il browser di successo che è adesso, sembra non essere più ai valori di un tempo.

    Stando ad una relazione rilasciata da Cenzic, una società operante nel campo della sicurezza in Rete, è proprio il software di Mozilla quello che ha presentato il maggior numero di vulnerabilità nella prima parte dell’anno, scalzando da questa particolare graduatoria il rivale, e per questo sempre criticato, Internet Explorer.

    A quanto pare, i numeri dicono che Firefox raccoglie il 44% delle vulnerabilità totali, mentre in seconda posizione, con il 35%, si piazza Safari, passi avanti invece per Internet Explorer, che quest’anno è in terza posizione con “solo” il 15% delle vulnerabilità, mentre una nota di merito va ad Opera, il browser scandinavo che è stato “protagonista” in appena il 6% dei potenziali pericoli scoperti nei software di navigazione.

    A prima vista questa potrebbe sembrare una bocciatura totale per Firefox e una mazzata alla sua ascesa. Ma è davvero così? Sembra di no e i motivi sono essenzialmente due e sono legati alla stessa struttura e al successo del browser.

    Il primo è che la crescente popolarità di Firefox lo espone, inevitabilmente e conseguentemente, alle “attenzioni” non proprio gradite dei soliti criminali del Web, che vedono ora, alla luce dell’accresciuta visibilità raggiunta dal browser, uno degli obiettivi privilegiati per portare i propri attacchi, esattamente come accade in ambito OS, con Windows costantemente sotto attacco a causa della sua popolarità, o come quanto capitava fino all’anno scorso con lo stesso Internet Explorer, adesso meno sotto i riflettori anche perché meno diffuso.

    L’altro motivo è invece quello dei plugin di terze parti, che renderebbero Firefox più vulnerabile per “falle” spesso non direttamente legate al codice del browser in sé ma a difetti e bug compresi nel plugin stesso.

    In pratica quella che è una delle ragioni di successo di Firefox è anche un suo “difetto” non di poco conto, un difetto che però Mozilla sembra intenzionata a correggere presto “isolando” il suo software dai plugin funzionanti su di esso, al fine di garantire la sicurezza di base anche in caso utilizzo di estensioni non sicure.

    Insomma qualche “giustificazione” a questo primato non certo lodevole c’è, anche se ciò non significa che Firefox è così sicuro come spesso si crede o come spesso “l’immaginario popolare” lo dipinge. Come ogni software, anche il prodotto di Mozilla ha i suoi bug e i suoi limiti, anche più della concorrenza, a volte.

    Tags:

    Se vuoi aggiornamenti su Firefox è il browser con più vulnerabilità inserisci la tua e-mail nel box qui sotto:


    Ho letto e acconsento l'informativa sulla privacy

    Si No

    Acconsento al trattamento dei dati personali di cui al punto 3 dell'informativa sulla privacy

    Si No

    Commenti

    1. emmebì dice:

      - Vulnerabilità gravi o veniali?
      - Per quanto tempo medio rispetto a IE sono state valide qs. vulnerabilità, specie le più gravi (vedi CryptoAPI)?
      - E’ sicuro che in prodotti non open non esistano molte vulnerabilità non in letteratura ma utilizzate?
      - Giustamente, i plugin in che % sono responsabili?

      Personalmente, proprio per quest’ultimo punto, trovo il titolo sbagliato e fuorviante.

    2. Giuseppe Cutrone dice:

      Ciao Emmebì, rispondo riguardo l’osservazione sul titolo, dicendoti che, a mio parere, esso esprime chiaramente e in maniera letterale le conclusioni che si traggono dai dati pubblicati, né più né meno. Non mi pare di aver scritto nulla di sbagliato, di soggettivo o quantomeno di contestabile in questo caso.

      Nel post ho poi spiegato, focalizzando i due punti da me ritenuti più importanti, le ragioni di tale “primato”. Se poi qualcuno non è d’accordo o vuole approfondire può utilizzare il link alla fonte, è messo lì proprio per questa ragione.

    3. emmebì dice:

      Non ho nulla da dire sulla chiarezza del tuo articolo.
      Ma, per il mio Firefox senza estensioni e su *nix, il titolo risulta pure falso: è di validità generale che le vulnerabilità di un programma le si testino ed annoverino solo in relazione a tale programma.

      E’ semplicemente tendenzioso attaccare “parti” di codice al programma X e dar la colpa ad X se le parti di codice erano bacate!

    4. emmebì dice:

      Nota: disputa potrebbe esservi se un programma utilizzasse internamente codice terzo, come qui:

      “Subject: CVE-2009-3555 – apache/mod_ssl vulnerability and mitigation

      Apache httpd is affected by CVE-2009-3555[1] (The SSL Injection
      or MiM attack[2]).

      The Apache httpd webserver relies on OpenSSL for the implementation of
      the SSL/TLS protocol.”

      Ma non certo se il codice terzo gli viene appiccicato dagli utenti! E’ veramente inutile pure parlarne, quindi mi taccio ;)

    5. 2p2m dice:

      @emmebi

      immagino che tu esprima nel medesimo modo quando si conteggiano le vulnerabilità dei prodotti Microsoft, vero?

    6. ziomaul dice:

      Per Secunia (che rivela un serio e costante controllo sulla sicurezza dei programmi da anni) il più bacato rimane IE poi FF e infine Safari il più sicuro.

      Insomma, mi pare più un lancio pubblicitario dello sconosciuto Cenzic.

      Ciao

    7. emmebì dice:

      @ziomaul:

      del resto, pochi hanno interesse a exploitare Safari.

      Quello che manga a Firefox, più che la sicurezza intesa come numero di exploit, è una modalità protetta su Wincoz (beh, se lo UAC su Win7 è di default così inutile come sembra, parlo solo per Vista).
      Ubuntu 9.10 lo protegge infatti con Apparmor.

    8. ziomaul dice:

      @Emmebi

      Perchè pochi avrebbe interesse contro Safari? Anche se poco usato è sempre un guadagno. Anzi avrebbe maggiori effetti.

      Per UAC poi si è rivelato una gruviera oltre ad una seccatura, la celeberrima “modalità protetta” è servita solo verso i vecchi exploit che poi IE era già immune. Questo perchè IE serve anche da desktop e servizio visualizzazione per vari programmi NON può blindarsi oltre misura.

      Ciao

    9. emmebì dice:

      @ziomaul,

      ma che c’entra blindarsi?? Girare con privilegi ridotti quale influenza ha sulla navigazione? Su JS? Nemmeno sugli ActiveX la ha, figurati…

    10. ziomaul dice:

      @emmebì

      Perché se abituato all’ambiente Windows, in un ambiente veramente blindato anche gli ActiveX (anche js ma qualsiasi) dovrebbero essere limitati dal OS.

      Invece, orrore, abbiamo servizi con privilegi illimitati quando l’unico ad averli deve essere solo il Kernel.

      Ciao

    11. emmebì dice:

      Abituato a Wincoz è una parola grossa, dacchè sul mio PC ho solo Debian e Ubuntu…

      Gli ActiveX già risultano blindati, in quanto non è possibile installarli se non firmati e se non si è admin.

      Non difendo certo Windows nè tanto meno IE – mi amputerei una mano – ma per piacere diciamo le cose come stanno.

    12. ziomaul dice:

      Vedi che lo dici anche tu!

      Nel caso ActiveX “quanto non è possibile installarli se non firmati e se non si è admin.” infatti lavorano con privilegi alti (admin) e spesso NON serve. Allora attacco un ActiveX sfruttando una sua debolezza e posso scalare le difese … Se gli ActiveX NON avessero questi privilegi (non lavorano come un utente root di Linux/UNIX per capirci) anche sfruttando una debolezza ActiveX sarai fregato come cracker!

      Questo è blindare! Blindare non è “posso installare o meno una cosa” ma “limitare qualsiasi cosa nel suo ambito” perché se posso scalare le difese poi posso installare qualsiasi cosa.

      Ciao

    13. emmebì dice:

      > infatti lavorano con privilegi alti (admin)

      Assolutamente no. Hai mai programmato un ActiveX? Prova un po’ a vedere di far scrivere qualcosa ad un ActiveX su C: quando IE7-8 sia in modalità protetta…

    14. ziomaul dice:

      Infatti caro emmebi avevo scritto “attacco un ActiveX sfruttando una sua debolezza ” non di usarlo normalmente.
      ;)
      Ma dovrei fartelo vedere bene di persona il “meccanismo” qui stiamo solo “menando il can per l’aia” dunque concludiamo pacificamente.

      Ciao

    15. Aska dice:

      Concordo anch’io che il titolo dell’articolo trasmette un messaggio sbagliato a chi lo legge.. e se l’utente non ha il tempo di leggere l’articolo, quello che si ricorda alla fine è che: “firefox è meno sicuro di internet explorer perchè ha più vulnerabilità” (ricordo a tutti che l’utente medio non sa che cosa sia un “browser”, non conosce safari e forse ha sentito parlare di Opera. Considerando che ci son molti utenti che non hanno intenzione di studiare informatica o come minimo andare nel dettaglio di queste affermazioni, un utente medio dall’articolo dedurrebbe che internet explorer è il browser più sicuro)

      L’articolo è ben scritto e fa capire che in realtà il titolo e l’analisi dichiarata non significano nulla.

      ps: son capitato in questo forum cercando la fonte della notizia, vorrei avere i dettagli dell’analisi fatta.
      Ho trovato il link alla relazione di Cenzic e non è quello che avete pubblicato voi. il link è il seguente: http://blog.cenzic.com/public/item/245119

    16. Piero dice:

      >> “firefox è meno sicuro di internet explorer perchè ha più vulnerabilità”.

      E’ un associazione di natura interpretativa, detatta da mancanza di conoscenza.
      Quello della ‘vulnerabilità’ non è un concetto direttamente proporzionale o associabile a quello della ‘sicurezza’.
      Tale concetto deve, come minimo e a volerla fare semplice semplice, incrociarsi con quello di ‘rischio’ (probabilità*criticità).
      Se non impariamo a descrivere la sicurezza in modo analitico e matematico, continueremo a parlare, e a vendere, qualcosa che non esiste.

      P.S. A mio modestissimo parere un titolo più calzante ai contenuti potrebbe essere “Firefox è il browser con più vulnerabilità conosciute (o meglio ‘rese pubbliche’)”. Perchè non è che la vulnerabilità esiste SOLO quando è conosciuta o resa pubblica.

    17. emmebì dice:

      @Piero,

      ma nemmeno: “è il browser le cui estensioni presentano più vulnerabilità… essnedoci diecimilioni di estensioni anzichè nessuna o quasi come gli altri”.

    Commenta

    Your email address will not be published. Required fields are marked *