Mountain View (USA) – Lo scorso venerdì Mozilla Foundation ha distribuito un aggiornamento per Firefox, il 2.0.0.8, che sistema otto vulnerabilità, tra le quali due potenzialmente gravi ed una relativa all’ormai ben noto problema degli URI . L’update ha anche migliorato la compatibilità di Firefox 2 con l’imminente Mac OS X 10.5 Leopard .
Le falle corrette da Firefox 2.0.0.8, elencate in questa pagina e sintetizzate qui da FrSIRT, comprendono due bug classificati come “critical” e utilizzabili per eseguire del codice in modalità remota: il primo problema è legato alla corruzione della memoria, mentre il secondo ad un non corretta gestione degli oggetti Script .
Tra le altre debolezze, valutate di rischio basso o moderato, ve n’è una legata al famigerato problema della validazione degli URI : quest’ultima patch, l’ennesima relativa alla gestione degli URI, rafforza il controllo di validità sugli indirizzi passati al browser da un’applicazione esterna, come un player multimediale o un client di email. L’ultima versione del browser introduce anche un meccanismo di sicurezza che, ogni qual volta Firefox esegue un’applicazione esterna, all’utente viene chiesto di autorizzare l’operazione ed eventualmente memorizzare questa scelta una volta per tutte (v. immagine sotto).
Come si ricorderà, di recente Microsoft ha ammesso che il problema degli URI è originato dall’accoppiata Windows XP/Internet Expoler 7, e che presto rilascerà una patch per risolvere la debolezza “a monte”, ossia lato sistema operativo. Il big di Redmond ha però sottolineato l’importanza di filtrare gli URI anche lato applicazione, così da avere una verifica incrociata.
Alcune delle vulnerabilità appena corrette in Firefox, tra le quali quella relativa alla corruzione della memoria, interessano anche Thunderbird e saranno corrette nella prossima release del noto email client di Mozilla.
Come si è detto, la versione Mac di Firefox 2.0.0.8 include anche una serie di migliorie e fix volti ad incrementare la compatibilità del browser con l’imminente Leopard .
“Prima del rilascio di Firefox 2.0.0.8, Firefox non girava granché bene su Leopard”, ha spiegato in questo post Asa Dotzler, noto sviluppatore di Firefox. “Ora molti problemi sono stati risolti, ma la compatibilità tra Firefox e Leopard non è ancora al 100%: contiamo di renderla tale molto presto”.
L’ultima versione di Firefox può essere scaricata manualmente da Mozillaitalia.org oppure attraverso la funzione di aggiornamento automatico integrata nel software.