Internet – La scorsa settimana Mozilla Foundation ha reso disponibile una versione aggiornata di Firefox, la 1.0.1, che corregge 17 vulnerabilità di sicurezza .
Tra le falle corrette dalla nuova versione ce n’è una relativa all’implementazione dell’Internationalized Domain Names (IDN), standard che permette di registrare nomi a dominio con caratteri non presenti nell’alfabeto inglese. Com’ era emerso all’inizio del mese , un malintenzionato potrebbe sfruttare tale debolezza per mascherare il vero indirizzo di un sito web e farlo apparire identico all’URL di un altro sito, magari famoso. Il problema interessa quasi tutti i browser sulla piazza ad esclusione di Internet Explorer, che manca del supporto a IDN.
Il nuovo Firefox risolve il problema visualizzando sulla barra degli indirizzi i codici del formato Punycode, utilizzato dall’IDN per codificare i caratteri non contemplati dallo standard ASCII: in questo modo l’utente ha modo di verificare l’effettiva corrispondenza tra il link cliccato e l’URL del sito web di destinazione. Inizialmente gli sviluppatori di Mozilla.org avevano considerato la possibilità di eliminare completamente da Firefox il supporto a IDN, ma in seguito hanno preferito optare per una soluzione meno drastica.
In questi giorni anche Opera ha rilasciato una nuova versione 8.0 beta del suo omonimo browser che risolve il problema dell’IDN. A differenza di quanto fatto dal team di Firefox, Opera ha aggiunto al proprio browser un meccanismo di sicurezza che mostra, all’interno di una piccola barra di colore giallo, alcune informazioni sul certificato SSL dei domini IDN.
Buona parte delle altre vulnerabilità corrette da Firefox 1.0.1 riguardano lo spoofing degli indirizzi Web e degli indicatori di sicurezza del browser, debolezze che potrebbero essere sfruttate da un aggressore per attacchi di phishing e altre truffe on-line.
Sebbene Firefox includa un sistema di aggiornamento automatico, l’unico modo per correggere i problemi della versione 1.0 del browser è quello di scaricare manualmente dal sito di Mozilla.org la nuova versione aggiornata. Prima di installare Firefox 1.0.1 al di sopra di una precedente versione è consigliabile leggere l’ avviso pubblicato da MozillaItalia.org.
Nel corso di questa settimana Mozilla Foundation dovrebbe aggiornare anche il proprio client di e-mail Thunderbird e il browser Mozilla: il primo verrà rilasciato nella versione 1.0.1 e correggerà alcune vulnerabilità minori; il secondo arriverà nella release 1.7.6 e includerà buona parte dei fix alla base di Firefox 1.0.1. Sia Mozilla 1.8 che le release 1.1 di Firefox e Thunderbird dovrebbero debuttare intorno alla metà dell’anno.
Di recente Firefox 1.0 ha sorpassato i 25 milioni di download, una méta raggiunta in poco più di 3 mesi: secondo il sito SpreadFirefox.com , il browserino open source è stato scaricato da una media di 250.000 persone al giorno.
Ti potrebbe interessare
28 feb 2005