A meno di 48 ore di distanza dal rilascio, la scorsa settimana, di Firefox 3.5.1 , due esperti di sicurezza hanno scoperto una nuova vulnerabilità nell’ultima versione del celebre browser open source. Sebbene della falla esista già un exploit dimostrativo, Mozilla ha sottolineato che questa non può essere sfruttata per eseguire del codice a distanza.
“Alcune testate giornalistiche e software house dedicate alla sicurezza hanno erroneamente riportato che questo è un bug che può essere sfruttato (da un aggressore, NdR). Le nostre analisi indicano che non è così, ed infatti non abbiamo visto alcun esempio di codice d’attacco in giro”, ha commentato in questo post Mike Shaver, dirigente di Mozilla. Shaver ha poi tuttavia ammesso, in un aggiornamento al proprio post, che sotto Windows l’attuale exploit proof of concept causa il crash di Firefox 3.5.x, “almeno per certi utenti”.
Dopo la segnalazione di Shaver, sia il National Vulnerability Database che SecurityFocus hanno precisato nei rispettivi advisory che la vulnerabilità può essere utilizzata per attacchi di denial-of-service ma non per l’esecuzione di codice a distanza. Il problema appare dunque meno grave rispetto a quelli corretti la scorsa settimana in Firefox 3.5.0: ciò consentirà probabilmente a Mozilla di sviluppare una patch con meno urgenza.
Shaver ha infine spiegato che il bug interessa anche le versioni Linux e Mac di Firefox 3.5.x, ma in ciascuna piattaforma il problema si verifica all’interno di un componente diverso: la libreria di sistema ATSUI in Mac OS X e nelle librerie pango, glib o libc in Linux. Il livello di gravità, secondo il dirigente, rimarrebbe comunque invariato per tutti i sistemi operativi.
All’incirca nelle stesse ore in cui sono emerse le prime notizie relative alla falla di Firefox 3.5.1, Google ha rilasciato un aggiornamento di sicurezza per la versione stabile di Chrome, la 2.0. Entrambi i bug interessano l’application framework open source WebKit alla base di Chrome, e secondo Google possono essere sfruttati da un aggressore per eseguire del codice a distanza. Maggiori dettagli si trovano in questo advisory .