QR code per la pagina originale

Firefox 3.5: bug zero-day, minaccia JavaScript

Firefox 3.5 è sotto minaccia a causa di una grave vulnerabilità scoperta nella componente TraceMonkey: il motore JavaScript che ha permesso il salto di qualità da FF 3.0 a FF 3.5, infatti, abilita un pericoloso exploit da remoto. Si attende la 3.5.1

,

Firefox 3.5 è già sotto minaccia. Secunia, inoltre non ha dubbi: trattasi di una minaccia critica, meritevole di un giudizio gravoso e necessitante di solerte aggiornamento da parte di Mozilla. Nessun exploit attivo registrato, ma un codice “Proof of Concept” è stato pubblicato su Milw0rm.com. Nessuna reazione è al momento giunta dai laboratori della fondazione che cura lo sviluppo del browser open source.

Il problema è nell’interpretazione del codice JavaScript e la scoperta è accreditata a Simon Berry-Byrne. Alla luce della natura del bug, l’attacco potrebbe provenire semplicemente da un sito web appositamente formato, il che impone attenzione durante la navigazione o la disabilitazione temporanea del codice JavaScript sull’ultima versione del browser Mozilla. L’exploit è attivabile mediante appositi tag in grado di causare corruzione della memoria e successiva esecuzione di codice arbitrario sul sistema vittima dell’attacco.

TraceMonkey, il motore che ha velocizzato il browser Mozilla offrendo grande spolvero all’ultima release, si trova ad essere al tempo stesso punto forte e punto debole del browser: una precedente vulnerabilità è già stata segnalata nella nuova componente e ne era prevista una solerte risoluzione concomitante ad un paio di altre imperfezioni, ma ora al tutto si aggiunge la nuova grave problematica che richiederà specifica attenzione. Firefox 3.5.1 era stato promesso entro metà Luglio, ma la nuova scoperta potrebbe a questo punto consigliare a Mozilla un leggero rinvio per un aggiornamento completo ed affidabile del browser.

Scheda Secunia SA35798

Il pericolo connaturato al bug è nel fatto che il codice di exploit sia già noto, mentre Mozilla ancora non sia pronta ad aggiornare il browser. Trattasi pertanto di un bug ad alta criticità al quale deve al momento porre rimedio direttamente l’utente con maggiori attenzioni o con l’eventuale uso di NoScript. È altresì possibile intervenire manualmente sul problema:

  • Aprire Firefox 3.5;
  • digitare “abount:config”;
  • cercare nel filtro “jit”;
  • se la voce “javascript.options.jit.content” è “true”, con un doppio click la si disabilita.

Così facendo la velocità del browser subisce un downgrade dagli standard di Firefox 3.5 a quelli di Firefox 3.0, ma la navigazione è sicura. Per gli utenti ancora fermi a Firefox 3.0 è invece probabilmente il caso di attendere qualche giorno prima dell’upgrade.