Non c'è pace per Firefox: già bacata la 3.5.1

Non c’è pace per Firefox: il browser Mozilla, recentemente sotto osservazione a causa di una grave vulnerabilità risolta nel giro di pochi giorni, si trova ad essere nuovamente sotto grave minaccia e l’utenza torna in attesa di una patch risolutiva prima di poter riporre nuovamente piena fiducia nel software.

La vulnerabilità sarebbe stata in realtà riscontrata in Firefox 3.5, ma la conferma ufficiale è giunta quando ormai la versione 3.5.1 era già in distribuzione. Ancora una volta il problema è stato riscontrato a livello di interpretazione del codice Javascript: un valore oltremodo lungo nel metodo “document.write” è in grado di scatenare il buffer overflow tramite il quale eseguire codice sul sistema colpito. Il codice di exploit è disponibile in rete, ma al momento non si registrano attacchi attivi.

L’utente non ha armi dalla propria parte. Le uniche possibilità sono nella temporanea sostituzione del browser in uso, nella disattivazione del codice Javascript sul browser o nell’uso di NoScript per evitare l’attacco remoto sul sistema. Mozilla è tipicamente rapida nel risolvere i problemi di sicurezza emergenti sui propri software, dunque è presumibile un solerte intervento tramite distribuzione di una release 3.5.2 che vada a risolvere una 3.5 tanto a lungo attesa, quanto per poco tempo goduta appieno prima che i problemi iniziassero a trasparire.

Internet Security Services e National Vulnerability Database producono i primi dettagli sul problema accreditando a Andrew Haynes e Simon Berry-Byrne la scoperta del tutto (Simon Berry-Byrne aveva peraltro già firmato la descrizione del bug che ha portato allo sviluppo della release 3.5.1). Un post pubblicato sul Mozilla Security Blog conferma le evidenze, analizzando nello specifico le possibilità di exploit di Firefox 3.5.1 sulle varie piattaforme.