Mountain View (USA) – Verso la fine della scorsa settimana Mozilla Foundation ha pubblicato versioni aggiornate di Firefox che sistemano diverse vulnerabilità di sicurezza, alcune delle quali piuttosto severe. Un paio di questi problemi saranno presto sistemati anche in Thunderbird.
Tra le falle più gravi corrette da Firefox 2.0.0.2 e 1.5.0.10 vi è quella relativa all’attributo DOM location.hostname , scoperta un paio di settimane fa dal noto bug hunter polacco Michal Zalewski. La debolezza può consentire ad un sito web maligno di manipolare il cookie di autenticazione di qualsiasi altro dominio, rendendo possibile attacchi di cross-site scripting (XSS) anche molto insidiosi.
Il massimo livello di pericolosità è stato assegnato dal team di Mozilla ad una nuova falla, descritta qui , che può essere utilizzata da un aggressore per mandare in crash l’applicazione o eseguire del codice da remoto a propria scelta. Dal momento che condivide lo stesso motore di Firefox, questo bug interessa potenzialmente anche Thunderbird, ma solo se il client è stato configurato per eseguire automaticamente i JavaScript (funzione di cui Mozilla sconsiglia vivamente l’attivazione).
Le altre debolezze di Firefox , sintetizzate qui , sono state classificate di pericolosità moderata e bassa: ciò significa che possono essere sfruttate solo in circostanze molto particolari o con metodi complessi e, nella maggioranza dei casi, esclusivamente per attacchi di denial of service.
Mozilla ha anche sotolineato come le nuove versioni di Firefox includano una serie di migliorie pensate per rafforzare le difese del browser contro gli attacchi XSS e per migliorarne la compatibilità con Windows Vista .
La versione 1.5.0.10 di Thunderbird , la cui distribuzione ufficiale avverrà a breve, corregge invece due vulnerabilità, la più grave delle quali consiste in un buffer overflow nel Network Security Services SSLv2 di Mozilla: lo stesso bug interessa anche Firefox, ma viene qui considerato di minore importanza.
La quasi totalità di questi problemi verrà presto corretto anche in SeaMonkey , il celebre erede di Mozilla Suite.
Pochi giorni fa Zalewski ha scoperto una nuova debolezza di Firefox legata alla gestione dei JavaScript che, secondo l’esperto, può essere utilizzata da remoto per eseguire del codice qualsiasi. Il bug si trova descritto in questo advisory apparso su BugZilla, ed è già stato corretto in alcune build del browser.