Firefox 2.0.0.3, risolti anche i problemi di FTP

Arriva oggi l’annunciato upgrade di Firefox alla versione 2.0.0.3, reso necessario dalla scoperta di alcuni bug e vulnerabilità nella sicurezza (comunque catalogate «low risk»). Assieme alla 2.0, Mozilla ha aggiornato anche la prima release del suo software per la navigazione in rete rilasciando anche una versione 1.5.0.11, nonostante gli stessi produttori consiglino caldamente il passaggio alla versione 2 (la prima versione del browser open source sarà supportata dall’azienda solo fino al 24 aprile).

Secondo il comunicato Mozilla la patch più importante riguarda una vulnerabilità relativa all’utilizzo del protocollo FTP e in particolar modo il comando PASV (passive), utile a richiedere una porta alternativa. Il comando infatti alle volte viene usato anche per includere (dal lato server) l’indirizzo di un server alternativo. In questo modo una pagina ospitata su un server FTP e programmata per l’occasione potrebbe effettuare un rudimentale port-scan dietro il firewall dell’utente. D’ora in poi con la nuova versione non sarà possibile includere alcun indirizzo alternativo.

Il problema indicato non rappresenta di per sè una grave minaccia ma, nel caso la rete presentasse ulteriori bug, il tutto potrebbe essere proficuamente sfruttato per affondare un attacco. L’azienda comunica inoltre che gli altri bug risolti da questa release (non relativi alla sicurezza del browser) vanno a correggere alcuni problemi di compatibilità. Trattasi di problemi di gestione delle password in caso di account multipli, di alcune imprecisioni nelle sottoscrizioni ai feed RSS, di problemi di rendering per tfoot e di errori nelle autenticazioni via certificato.

L’update del browser sarà suggerito automaticamente agli utenti Firefox entro le prossime ore, ma è possibile altresì forzare l’aggiornamento mediante la tradizionale procedura manuale.