Sembra proprio che il Natale abbia portato agli utenti di browser un sacco pieno di… patch. Oltre a quella per l’ormai famosa vulnerabilità di Internet Explorer , nelle ultime 48 ore sono stati rilasciati aggiornamenti di sicurezza anche per Firefox e Opera: questi update arrivano proprio a ridosso delle raccomandazioni di molti esperti ad utilizzare browser diversi da Internet Explorer 7.
Le nuove versioni di Firefox sono la 3.0.5 e la 2.0.0.19 , le quali sistemano rispettivamente otto e nove falle di sicurezza, 3-4 delle quali classificate da Mozilla con il più elevato grado di rischio.
Due delle debolezze più serie relative a Firefox 3 possono consentire ad un aggressore di lanciare attacchi di tipo cross-site scripting (XSS), che generalmente permettono di eseguire codice JavaScript nel contesto di un differente sito web. Mozilla spiega che tale codice gira con gli stessi privilegi di Firefox.
Il terzo problema “critico” riguarda il motore di browsing di Firefox, ed è costituito da alcuni buffer overflow che potrebbero essere utilizzati per corrompere la memoria e causare il crash del browser. “Presumiamo che con un sufficiente impegno almeno alcuni di questi bug potrebbero essere sfruttati per eseguire arbitrariamente del codice a distanza”, si legge nell’ advisory di Mozilla.
Alcuni dei bug corretti da questi update interessano anche il client email Thunderbird, che condivide con Firefox lo stesso motore di browsing.
Mozilla ha ricordato come il 2.0.0.19 sia da considerarsi l’ultimo aggiornamento a Firefox 2, e che questo, come anticipato la scorsa settimana, elimina la funzione antiphishing inclusa nel browser. Ora più che mai, dunque, è raccomandato migrare a Firefox 3.
Per scaricare le versioni aggiornate di Firefox è possibile servirsi del sistema di auto aggiornamento integrato nel browser o procedere al download manuale da getfirefox.com o Mozilla Italia .
Le vulnerabilità stuccate dall’ultima versione di Opera, la 9.63, sono invece sette, alcune delle quali considerate da Opera Software di “estrema gravità”. Due bug consistono in errori nel parsing dell’HTML e del testo, e potrebbero essere sfruttati per attacchi di code injection. Un simile rischio accompagna anche un terzo bug, questa volta relativo all’erronea gestione di nomi di host troppo lunghi.
Opera 9.63 risolve poi un problema XSS legato ai template XSLT ed un altro nella gestione delle anteprime dei feed RSS. Maggiori dettagli su queste vulnerabilità sono riportati in questa pagina del sito di Opera Software e in questo advisory di Secunia.
La nuova versione di Opera può essere scaricata da qui o attraverso il meccanismo di autoupdating introdotto recentemente in questo browser.