BlogZilla

Mozilla Foundation ha rilasciato una patch per Firefox che corregge una vulnerabilità piuttosto seria del browser. Il fix è il primo ad essere disponibile attraverso la recente funzionalità di aggiornamento di Firefox.

La scorsa settimana la Mozilla Foundation ha rilasciato un importante fix per la Preview Release (PR) di Firefox che aggiorna il browser open source alla versione 0.10.1.

La patch stucca una falla di sicurezza che, stando a quanto spiegato nell’advisory ufficiale, può essere sfruttata da un sito malevolo per cancellare uno o più file contenuti all’interno della cartella dei dowload.

“Sebbene questa sia una vulnerabilità di sicurezza potenzialmente grave, affinché un cracker la possa sfruttare è necessaria l’interazione dell’utente”, si spiega nell’advisory. “Questo aggiornamento di sicurezza è un altro esempio di come la Mozilla Foundation identifichi e corregga le vulnerabilità di sicurezza prima che queste possano essere sfruttate dai cracker”.

Chi dispone già di Firefox PR 0.10 (disponibile solo in lingua inglese) può scaricare e installare la patch semplicemente avvalendosi della funzione Software Updates presente all’interno delle opzioni del browser (un’icona di acceso rapido può essere aggiunta alla toolbar). Questa funzione, che fino a poco tempo fa era inattiva, potrà d’ora in avanti essere utilizzata per scaricare tutti gli aggiornamenti per Firefox o una delle estensioni installate dall’utente. Un sistema simile è presente anche nelle ultime versioni del client di e-mail Thunderbird.

Negli scorsi giorni, all’interno dei forum di supporto, la Mozilla Foundation ha ribadito come Firefox sia immune dalla vulnerabilità di Windows legata alle immagini JPEG: il browser open source, infatti, non utilizza la libreria GDI+ per visualizzare le immagini.

Nella roadmap del progetto di sviluppo di Firefox il rilascio della versione 1.0 finale è stato fissato per l’11 di ottobre, ma difficilmente gli sviluppatori riusciranno a rispettare tale data: nelle ultime due settimane, infatti, erano attese due release candidate del browser che, invece, non sono ancora state annunciate.

Fonte: Punto Informatico

Il programma di caccia al bug di Mozilla Foundation continua a dare buoni frutti. Prevista una “pezza” per la 1.0 Pr 1 del browser della volpe di fuoco: non è più necessario il download di tutto il software. Slitta tuttavia il lancio dell’edizione definitiva.

Il Security Bug Bounty Program di Mozilla Foundation, ovvero il programma di caccia al bug e ricompensa a chi lo ha scovato, continua a dare buoni frutti.
Per Firefox 1.0 Preview Release è stato che, se sfruttato, può portare alla cancellazione di file: non si tratta – come spesso accade – di un bug che permette all’attaccante di fare danni senza che l’utente se ne accorga, ma di un problema che presuppone l’interazione dell’utente stesso. Questi deve scaricare manualmente un file che, una volta aperto, porta alla cancellazione di uno o più file contenuti nella cartella dei download.

La correzione del bug introduce una novità per Firefox: non si ricorre a una nuova versione, ma a una patch (di dimensioni inferiori rispetto a un download completo), scaricabile mediante la funzione Software Updates presente nei menu del nuovo Firefox, e che aggiorna il browser alla versione 0.10.1.

E’ la prima volta che Software Updates (che può anche comparire come icona nel browser) viene chiamato all’opera; la funzione è presente in Firefox e in Thunderbird, ma non ancora in Mozilla.
La caccia al bug permette un miglioramento del codice, ma penalizza anche i tempi di rilascio: la versione 1.0 del browser libero, invero molto attesa, difficilmente rispetterà il termine previsto dell’ 11 ottobre. Nelle scorse due settimane, infatti, erano previste due release candidate di Firefox che – per contro – non sono ancora state annunciate.

Di Guido Sintoni, tratto da MyTech.it