QR code per la pagina originale

Mozilla rilascia Firefox 3.0.8

In anticipo sui tempi previsti, Mozilla rilascia la versione 3.0.8 di Firefox attraverso la quale corregge due vulnerabilità critiche, una portate alla luce dal ricercatore Guido Landi e una emersa tramite il concorso Pwn2Own 2009

,

Mozilla mette a disposizione per il download l’attesissimo aggiornamento 3.0.8 di Firefox, il cui rilascio, previsto inizialmente tra il 30 marzo ed il 1 aprile, serve a tappare al più presto due falle critiche a rischio exploit emerse nei giorni precedenti. Si tratta di una vulnerabilità portata alla luce dal ricercatore italiano Guido Landi e di una debolezza insita nel browser identificata da uno studente tedesco di nome Nils in occasione del concorso Pwn2Own 2009.

L’Advisory MFSA 2009-12 identifica la vulnerabilità scoperta da Guido Landi e riconducibile direttamente alla gestione dei fogli di stile XSL: il bug permetterebbe infatti ad un utente malintenzionato di utilizzare all’interno di un sito Web del codice XSL malevolo, al fine di mandare in crash Firefox e iniettare così del codice arbitrario nel computer della vittima. La vulnerabilità si rivelerebbe particolarmente insidiosa per il fatto di rendere Firefox veicolo d’attacco anche all’interno delle piattaforme Mac OS X e Linux.

L’Advisory MFSA 2009-13 identifica invece la falla scoperta dal ricercatore tedesco in occasione della Zero Day Initiative indetta da TippingPoint e che coinvolge XUL, il linguaggio di Mozilla basato sull’XML. In alcuni casi infatti, il metodo “_moveToEdgeShift” potrebbe portare Firefox all’exploit, aprendo così un varco nel computer delle vittime attraverso il quale veicolare codice malevolo. Tale vulnerabilità non coinvolge Firefox 2 o Thunderbird 2.

Mozilla batte quindi in velocità sia Microsoft che Apple nel correggere le vulnerabilità emerse nel corso del Pwn2Own 2009, mostrando in fin dei conti quanto relativa sia la sicurezza di un programma e quanto invece possa essere determinante una rapida risoluzione delle problematiche che inevitabilmente emergono nel tempo. Nel caso di Internet Explorer 8 RC1, anch’esso violato da Nils nel corso del contest, l’exploit appare essere stato “incatenato” nella versione finale solamente sotto Windows Vista SP1 e Windows 7, risultando ancora a piede libero nel casi di utilizzo sotto Windows XP.