Mountain View (USA) – Lo scorso venerdì Mozilla ha distribuito un aggiornamento di sicurezza per Firefox, il 2.0.0.12 , che corregge oltre una dozzina di falle di sicurezza descritte in dieci advisory , tre dei quali classificati con il massimo grado di rischio.
Le vulnerabilità “critiche” possono consentire ad un malintenzionato di leggere la cronologia, causare il crash del browser ed eseguire del codice con gli stessi privilegi dell’utente locale. L’unica falla classificata “high” è quella di cui si è dato notizia verso la fine di gennaio, sfruttabile per eseguire script, immagini o stylesheet da cartelle conosciute.
Tra le altre debolezze, classificate di media o bassa gravità, ve n’è una relativa alla corruzione delle password salvate ed una che potrebbe consentire ad un sito web maligno di manomettere i box di dialogo.
Una sintesi delle vulnerabilità è stata pubblicata qui da FrSIRT, mentre in questo advisory la società di sicurezza francese elenca le quattro vulnerabilità condivise anche da Thunderbird.
Firefox 3
Oggi Mozilla dovrebbe rilasciare la terza beta di Firefox 3, prima release dopo il code freeze del 29 gennaio: a partire da questa data le uniche modifiche apportate al browser riguardano la correzione di bug e il miglioramento delle funzionalità preesistenti.
Il team di sviluppo ha già pianificato il rilascio di una quarta beta intorno al 26 febbraio: oltre a correggere i bug dell’ultima ora, questa versione apporterà gli ultimi ritocchi all’interfaccia grafica e ai temi, e migliorerà il supporto alla navigazione offline, l’interfaccia dedicata alle impostazioni di sicurezza e la funzionalità Places .
Dal lancio della Beta 1 ad oggi, gli sviluppatori di Firefox 3 affermano di aver corretto oltre un migliaio di bug. La data di rilascio del nuovo browser resta fissata per “inizio 2008”, che dovrebbe ormai tradursi in “inizio primavera”.