Nelle scorse ore Mozilla ha rilasciato versioni aggiornate di Firefox, la 3.5.3 e la 3.0.14, che sistemano quattro vulnerabilità, di cui tre considerate della massima serietà.
Con l’occasione Mozilla ha aggiunto al proprio browser una funzione di sicurezza che controlla la versione di Flash Player installata nel sistema: nel caso in cui la versione del famoso plug-in di Adobe non fosse la più aggiornata, Firefox avvisa l’utente e lo invita a scaricare l’ultima release.
“Abbiamo scelto di focalizzarci su Flash Player sia a causa della sua popolarità sia perché alcuni sondaggi hanno mostrato come almeno l’80% degli utenti usi una versione datata di questo software”, ha spiegato Johnathan Nightingale, portavoce di Mozilla, in un recente post . “Mozilla lavorerà insieme ad altri sviluppatori di plug-in affinché in futuro tale controllo sia esteso anche ai loro prodotti”.
A causa della sua enorme diffusione, e del suo livello di sicurezza non proprio impeccabile, Flash Player è da tempo nel mirino dai cracker : una vulnerabilità in questo componente può talvolta consentire ai malintenzionati di bypassare le protezioni dei browser e installare sui sistemi remoti malware e backdoor.
Come si è detto, le nuove versioni di Firefox correggono quattro falle: le più critiche, sfruttabili da un cracker per elevare i propri privilegi o eseguire del codice in modalità remota, riguardano la funzione BrowserFeedWriter di Chrome ( MFSA 2009-51 ), il framework XUL ( MFSA 2009-49 ) e il motore di layout Gecko, ora aggiornato alle versioni 1.9.1.3 e 1.9.0.14. La debolezza meno grave, descritta nell’advisory MFSA 2009-50 , riguarda solo Windows, ed è causata dal fatto che in questo sistema operativo il font usato per la locationbar e altre caselle di testo non visualizza correttamente certi caratteri Unicode: un malintenzionato potrebbe sfruttare il problema per nascondere l’URL di un sito maligno.
I link alle note di rilascio di Firefox 3.5.3 e 3.0.14 sono qui .
“Ricordiamo che per il ramo 2.0. non vengono più rilasciati aggiornamenti di sicurezza e stabilità, mentre per il ramo 3.0.x non saranno più rilasciati aggiornamenti di sicurezza a partire dal gennaio 2010”, avvisa Mozilla Italia . “Per questo motivo – si spiega – consigliamo di effettuare quanto prima il passaggio alla versione 3.5”.
Alessandro Del Rosso