Nella giornata di ieri Mozilla ha distribuito un aggiornamento di sicurezza per Firefox 3.5 ed uno per Firefox 3.0: il primo, il 3.5.6, corregge sette vulnerabilità, di cui tre “critiche”; il secondo, con numero di versione 3.0.16, sistema invece cinque falle, di cui una della massima gravità.
Due delle debolezze più serie risolte da Firefox 3.5.6 riguardano componenti di terze parti, e per la precisione le librerie multimediali open source libtheora e liboggplay : queste vengono utilizzate da Firefox per riprodurre nativamente gli stream video compressi con il noto codec free Theora .
La terza vulnerabilità più urgente è invece causata da un bug nel motore JavaScript, potenzialmente sfruttabile dai cracker per corrompere la memoria ed eseguire del codice a loro scelta.
Una quarta falla, considerata di gravità “alta”, affligge l’implementazione del protocollo di autenticazione NT LAN Manager (NTLM) di Microsoft e potrebbe essere sfruttata per dirottare le credenziali di accesso di un’applicazione verso un’altra applicazione attraverso il browser.
Le altre falle, meno gravi, riguardano lo spoofing della location bar, l’elevazione dei privilegi attraverso un elemento di chrome e un bug nel componente GeckoActiveXObject sfruttabile per ottenere l’elenco degli oggetti COM installati.
Per i dettagli sulle vulnerabilità corrette da Firefox 3.5.6 si veda questa pagina .
I bug di sicurezza corretti in Firefox 3.0 sono gli stessi della versione 3.5, ad eccezione delle due vulnerabilità critiche relative alle librerie libtheora e liboggplay (non supportando l’elemento canvas video di HTML5, Firefox 3.0.x non include il supporto a Theora).
In contemporanea alle nuove versioni di Firefox è stato rilasciato anche SeaMonkey 2.0.1, il quale poggia sulla stessa base di codice di Firefox 3.5.6 (correggendo dunque gli stessi bug) e introduce diverse novità, tra cui un nuovo sistema di gestione dei componenti aggiuntivi e il supporto al ripristino automatico delle sessioni in caso di crash del browser. Tutte le novità vengono descritte in questo post di Mozilla Italia , sito da cui è anche possibile scaricare le nuove versioni in italiano di Firefox.
Pochi giorni fa Mozilla ha annunciato l’imminente rilascio della quinta beta di Firefox 3.6 . La release finale è attesa nel corso del primo trimestre 2010.
Alessandro Del Rosso