Venti di tempesta arrivano dalla ToorCon 2006 di San Diego. Ben 30 “0-day” per Firefox sarebbero stati scoperti da Mischa Spiegelmock e Andrew Wbeelsoi. Nelle slide di presentazione del proprio talk i due black hat avrebbero dimostrato un solo bug critico riguardante l’implementazione di JavaScript nel browser del panda rosso. A detta della neo assunta Windows Snyder, le slide sarebbero state talmente dettagliate da fornire abbastanza informazioni per permettere la creazione di un exploit che sfrutti il bug…ma anche una patch adeguata da parte del security team di Firefox.
Mischa Spiegelmock e Andrew Wbeelsoi hanno dichiarato di non voler assolutamente rendere noti gli altri bug scoperti agli sviluppatori del browser rifiutando persino le ricompense previste dal Mozilla Security Bug Bounty Program. L’obiettivo (da veri idioti) dei due blackhat sarebbe la creazione di una botnet, una rete di computer infetti agli ordini di cracker senza scrupoli…
Per ora sulle principali mailing list e blog dedicati alla sicurezza non c’è traccia di alcun exploit code per Firefox ma tanto per non rischiare è consigliabile disabilitare JavaScript o usare l’estensione NoScript.
UPDATE
Come giustamente segnalato nei commenti su Mozilla Developer News la vicenda ha trovato il suo lieto epilogo: Mischa Spiegelmock ha ammesso di aver voluto scherzare riguardo alle vulnerabilità affermando candidmente: “The main purpose of our talk was to be humorous”.
Insomma tutto è bene quel che finisce bene :-)
[Via | Osnews]
Seguici
ossblog è un supplemento alla testata Blogo.it registrata presso il Tribunale di Milano n. 487/06, P. IVA 04699900967. Contatti, Chi siamo, Condizioni di utilizzo, Privacy.
© 2004-2012 Blogo.it, alcuni diritti riservati sotto licenza Creative Commons.
Per informazioni pubblicitarie e progetti speciali su Ossblog.it contattare la concessionaria esclusiva Populis Engage.
Sloteel
02 ott 2006 - 08:51 - #1La seconda parte della notizia mi era sfuggita.
In pratica stanno ammettendo candidamente di voler creare una botnet?
malex
02 ott 2006 - 09:58 - #2Queste notizie hanno tutta l’aria di essere dei FUD, il rilascio della nuova versione di Firefox è vicina. ;-)
Delysid
02 ott 2006 - 10:55 - #3A me sfugge qualcosa…
FrAnKHiNrG
02 ott 2006 - 11:11 - #4Strano che abbiano dato sta notizia solo ora che è imminente il lancio di Firefox 2.
Altra cosa che mi incuriosisce è che non diamo l’elenco di questi “altri bug scoperti”
Riassumo i miei dubbi con una sola domanda….Chissà da ci sono foraggiati sti due “grandi hackers”? :)
Arael
02 ott 2006 - 11:20 - #5Continuerò ad usare firefox…perchè ho fiducia negli sviluppatori del panda rosso… =)
El Salvador
02 ott 2006 - 12:49 - #6“Strano che abbiano dato sta notizia solo ora che è imminente il lancio di Firefox 2.”
Il vero fatto strano è che questi idioti vogliono creare una rete di botnet e si rifiutino di comunicare al team di FF, le altre presunte (hanno fatto vedere solo 1 bug, chi ci dice che le altre 29 siano vere?) 29 0-day.
ilgufo
02 ott 2006 - 18:06 - #7o e’ FUD (ma non credo) o quei due blackhat sono degli scemi.
El Salvador
03 ott 2006 - 09:22 - #8Ragazzi, leggete http://www.tweakness.net/index.php?topic=2992
Delysid
03 ott 2006 - 16:25 - #9Per l’appunto qualcosa mi puzzava… notizia fresca fresca:
http://punto-informatico.it/p.aspx?id=1677459
In pratica non è vero niente a parte un bug irrilevante.
Giuliastro
03 ott 2006 - 17:17 - #10Proprio una bella battuta, Spiegelmock. Siamo tutti crepati dal ridere. Cosa non si fa per un po’ di pubblicita’..
News -1- « Mai paura
09 ott 2006 - 21:09 - #11[…] A proposito di bugfixes: un paio di ‘defiscenti’ (alla Lisa Simpson), in un recente convegno sulla sicurezza, hanno annunciato la scoperta di ben 30 vulnerabilità del noto browser. Una di queste era da loro stata esposta, mentre le restanti erano rimaste segrete. Motivo? Ufficialmente, perché non volevano dirle… Ma già un paio di giorni dopo hanno ammesso che era tutta una bufala. Persino la vulnerabilità descritta al convegno non permetteva di fare altro che occupare un po’ di RAM e chiudere il browser. In compenso, la squadra di sviluppo ha cominciato ad investigare… non si sa mai che ci sia una base di verità anche in queste cretinate! […]