Firefox mette un altro cerotto sugli URI

Un nuovo update pubblicato da Mozilla sistema una nuova vulnerabilitÓ legata alla gestione degli indirizzi URI e un bug minore

Mountain View (USA) - A sole due settimane di distanza dall'ultimo aggiornamento di sicurezza, ieri Mozilla Foundation ha rilasciato un update per Firefox, il 2.0.0.6, che risolve una nuova vulnerabilità legata alla gestione degli indirizzi di rete, detti URI (Uniform Resource Identifier).

Simile alla falla corretta nello scorso aggiornamento, anche quest'ultima può consentire ad un malintenzionato di utilizzare Internet Explorer 7 per passare a Firefox un indirizzo contenente argomenti pericolosi, capaci di lanciare un qualsiasi pogramma installato sotto Windows XP. Mozilla sostiene che gli utenti di Windows Vista o quelli che utilizzano Firefox con IE6 non corrono alcun pericolo.

I dettagli della vulnerabilità sono stati pubblicati in questo advisory.
Nelle ultime settimane si è molto dibattuto su chi, tra Firefox e IE7, abbia le maggiori responsabilità sulla falla legata alla gestione degli URI. A dimostrazione di come il compito dei moderni Salomone sia tutt'altro che facile, l'altro giorno BetaNews.com ha pubblicato un articolo in cui si sostiene che l'"origine del male" sia un'API di Windows, ed in particolare nella funzione ShellExecute() già presa di mira dai virus writer all'epoca di Windows 2000. Altri fanno comunque notare che se Firefox e IE7 verificassero e filtrassero gli URI con più zelo, tale tipo di vulnerabilità non esisterebbe.

L'update corregge anche un secondo bug, questa volta considerato di rischio moderato, che potrebbe consentire ad un sito maligno di eseguire script con privilegi più elevati del normale.

Chi non avesse ancora ricevuto la notifica automatica di aggiornamento, o avesse disattivato tale funzionalità, può scaricare manualmente Firefox 2.0.0.6 dai siti GetFirefox.com e MozillaItalia.it. A breve è atteso il rilascio di un'equivalente versione aggiornata di Thunderbird.