Alessandro Del Rosso

Sette cerotti per Firefox 3.5

Mozilla ha aggiornato Firefox 3.5 e 3.0 correggendo diversi bug, alcuni dei quali considerati della massima gravità. La comunità ha aggiornato invece SeaMonkey, ora basato sulla nuova versione 3.5.6 di Firefox

Roma - Nella giornata di ieri Mozilla ha distribuito un aggiornamento di sicurezza per Firefox 3.5 ed uno per Firefox 3.0: il primo, il 3.5.6, corregge sette vulnerabilità, di cui tre "critiche"; il secondo, con numero di versione 3.0.16, sistema invece cinque falle, di cui una della massima gravità.

Due delle debolezze più serie risolte da Firefox 3.5.6 riguardano componenti di terze parti, e per la precisione le librerie multimediali open source libtheora e liboggplay: queste vengono utilizzate da Firefox per riprodurre nativamente gli stream video compressi con il noto codec free Theora.

La terza vulnerabilità più urgente è invece causata da un bug nel motore JavaScript, potenzialmente sfruttabile dai cracker per corrompere la memoria ed eseguire del codice a loro scelta.
Una quarta falla, considerata di gravità "alta", affligge l'implementazione del protocollo di autenticazione NT LAN Manager (NTLM) di Microsoft e potrebbe essere sfruttata per dirottare le credenziali di accesso di un'applicazione verso un'altra applicazione attraverso il browser.

Le altre falle, meno gravi, riguardano lo spoofing della location bar, l'elevazione dei privilegi attraverso un elemento di chrome e un bug nel componente GeckoActiveXObject sfruttabile per ottenere l'elenco degli oggetti COM installati.

Per i dettagli sulle vulnerabilità corrette da Firefox 3.5.6 si veda questa pagina.

I bug di sicurezza corretti in Firefox 3.0 sono gli stessi della versione 3.5, ad eccezione delle due vulnerabilità critiche relative alle librerie libtheora e liboggplay (non supportando l'elemento canvas video di HTML5, Firefox 3.0.x non include il supporto a Theora).

In contemporanea alle nuove versioni di Firefox è stato rilasciato anche SeaMonkey 2.0.1, il quale poggia sulla stessa base di codice di Firefox 3.5.6 (correggendo dunque gli stessi bug) e introduce diverse novità, tra cui un nuovo sistema di gestione dei componenti aggiuntivi e il supporto al ripristino automatico delle sessioni in caso di crash del browser. Tutte le novità vengono descritte in questo post di Mozilla Italia, sito da cui è anche possibile scaricare le nuove versioni in italiano di Firefox.

Pochi giorni fa Mozilla ha annunciato l'imminente rilascio della quinta beta di Firefox 3.6. La release finale è attesa nel corso del primo trimestre 2010.

Alessandro Del Rosso
Notizie collegate
  • TecnologiaPiù vicini Firefox 3.6 e Thunderbird 3 Questa settimana sono state rilasciate la quarta beta di Firefox 3.6 e la prima release candidate di Thunderbird 3, due release che anticipano di poco l'arrivo delle versioni finali
  • TecnologiaFirefox 3.6 accoglie Windows 7Mozilla ha rilasciato la prima beta di Firefox 3.6, browser che introduce il supporto parziale a Windows 7 e promette di migliorare la velocità e la reattività del predecessore
  • SicurezzaFirefox si cura in vista del compleannoMozilla ha rilasciato versioni aggiornate di Firefox 3.5 e 3.0 che correggono oltre una decina di vulnerabilità, alcune sfruttabili per eseguire codice a distanza. Nel frattempo fervono i preparativi per il quinto genetliaco
9 Commenti alla Notizia Sette cerotti per Firefox 3.5
Ordina