La seria vulnerabilità di Firefox 3.6 di cui Secunia aveva dato notizia lo scorso 18 febbraio è ora stata ufficialmente confermata da Mozilla. La celebre organizzazione non profit ha fatto sapere in questo post di aver ricevuto “sufficienti dettagli per riprodurre e analizzare il problema”.
Mozilla correggerà il bug nella prossima versione di Firefox, la 3.6.2, di cui gli utenti più impazienti possono già scaricare la release candidate da qui ( v. update a fondo pagina ). Chi utilizza una versione preliminare di Firefox 3.7 è invece invitato a scaricare la recente alpha 3 .
La Foundation precisa che la falla non interessa né le versioni di Firefox precedenti alla 3.6, né Thunderbird e SeaMonkey.
Come si ricorderà, la veridicità della falla era stata messa in dubbio da più parti: il motivo principale è che il suo scopritore, il ricercatore russo Evgeny Legerov, è rimasto a lungo in silenzio prima di fornire i dettagli della debolezza a Mozilla. Come conseguenza, il problema è rimasto sostanzialmente ignorato per settimane.
Poche ore dopo la conferma della falla da parte di Mozilla, Secunia ha pubblicato una nota in cui risponde a chi l’aveva accusata di aver pubblicato una bufala. Il chief security specialist della società danese, Carsten Eiram, ha affermato che i criteri di selezione con cui Secunia seleziona le vulnerabilità sono molto severi, aggiungendo poi che Legerov “è una fonte attendibile che ha già collaborato con noi in diverse occasioni”.
“Pertanto, a meno che non troviate prove evidenti (non solo deboli assunzioni e argomentazioni) che quanto da noi pubblicato è un fake o un hoax , potete stare tranquilli che se Secunia pubblica un advisory la vulnerabilità è reale”, ha scritto Eiram.
La scorsa settimana anche Google ha corretto diverse vulnerabilità nel suo browser Chrome, alcune delle quali potenzialmente gravi. Con l’occasione, BigG ha anche aggiunto alla versione stabile del software alcune nuove funzionalità , tra le quali una funzione integrata per la traduzione delle pagine web.
Vale la pena ricordare che tra due giorni si terrà la nota competizione di hacking Pwn2Own 2010 , che in passato ha contribuito a far emergere le vulnerabilità di molti browser e sistemi operativi.
Update (ore 9,39) – Con un certo anticipo rispetto alle previsioni, nelle scorse ore Mozilla ha rilasciato la versione finale di Firefox 3.6.2.
Alessandro Del Rosso