QR code per la pagina originale

Firefox & Opera: falla, exploit, ma niente patch

Mozilla e Opera, dopo aver a lungo spalleggiato le critiche all'insicurezza di Microsoft Internet Explorer, cadono nello stesso grave problema: falla segnalata, exploit già disponibile, patch inesistente. Per gli utenti non c'è altra scelta che aspettare.

,

Arriva da uno studente inglese di nome Emmanouel Kellinis una tirata d’orecchi a Mozilla e al suo Firefox: un monito che si fa sentire sia per l’entità intrinseca dell’annuncio, sia per i risvolti che il tutto ha nell’attuale fase evolutiva del mercato dei browser. E l’annuncio è quello di una falla scoperta nel navigatore del draghetto rosso, una falla priva di patch ma con tanto di pericoloso exploit. Il rischio potenziale, dunque, è imminente.

Il problema consiste nel riconoscimento di certificati da parte del browser: l’exploit è in grado di far caricare certificati da siti altrui e godere dei permessi ricavati per agire in modo potenzialmente dannoso per il sistema dell’utente dotato del browser vulnerabile. L’autore pubblica altresì il contenuto dell’exploit (sotto l’etichetta di “Proof Of Concept”): in tutto poche semplicissime righe tali per cui l’autore francobolla come elevato il rischio conseguente. Dello stesso avviso non sono firme più attendibili quali Secunia secondo cui (bollettino SA12160) il tutto va semplicemente giudicato come «Moderately critical».

Nel momento in cui Internet Explorer vive il suo momento peggiore, dunque, Mozilla inciampa in un problematico ostacolo dal quale ne uscirà bene o male a seconda del tempo utile al rilascio di una patch risolutiva. Non se la passa meglio, però, neppure il terzo elemento dell’attuale gruppo concorrente in ambito browser: anche per Opera viene segnalata una falla «Moderately critical» frutto di una semplice variante al tema di altre falle precedenti. Patch non disponibile, exploit già rilasciato.