BlogZilla

Mozilla ha rilasciato due aggiornamenti di sicurezza per risolvere alcuni bug riscontrati nei software Firefox e Mozilla Suite. Le nuove release sono state rese necessarie dalla pericolosità, giudicata in alcuni casi critica, di alcune falle presenti nel codice dei popolari browser open source. La stessa Mozilla Foundation consiglia ai propri utenti di scaricare al più presto gli aggiornamenti per passare alle versioni Firefox 1.0.3 e Mozilla Suite 1.7.7.

Come solito, anche questa volta l’attenzione alla sicurezza dei prodotti è stata massima e, dopo una appena manciata di giorni dalle segnalazioni dei bug, le release aggiornate sono state messe on-line, già disponibili per il download. Oltre ad un’ottimizzazione della procedura di aggiornamento automatico, nessuna differenza di rilevo è da segnalare in merito alle funzionalità dei software, ma sono state corrette le falle che potevano rappresentare vulnerabilità più o meno o pericolose. I bug analizzati e risolti sono nove in tutto, tra cui quello confermato recentemente da Secunia in merito ad alcune funzionalità dei motori JavaScript. La vulnerabilità avrebbe permesso ad uno script malevolo di rubare alcuni dati sensibili degli utenti, andando a leggere le informazioni private in una specifica porzione di memoria dei broswer. Anche in questa occasione la Mozilla Foundation ha mantenuto fede alla promessa di dare un ruolo fondamentale alla sicurezza, assicurando nuovi e puntuali aggiornamenti per risolvere le vulnerabilità appena individuate. Va inoltre sottolineato come il moltiplicarsi di problemi di vulnerabilità non sia il sintomo di una scarsa qualità dei prodotti Mozilla, ma il segnale, piuttosto prevedibile, di una sempre più larga diffusione degli stessi software. La fondazione assicura poi che la nuova e migliorata versione 1.1 di Firefox sarà disponibile entro fine maggio, mentre per Mozilla Suite, questa dovrebbe essere l’ultima release che verrà rilasciata. Le versioni in italiano di Firefox 1.0.3 e di Mozilla Suite 1.7.7, sono già prelevabili dalla Sezione Download del sito Mozilla Italia.

Fonte: Jugo.it

La compagnia di sicurezza F-Secure attraverso il suo weblog avverte che due “proof-of-concept exploits” per i browser di casa Mozilla sono stati diffusi in alcune mailing lists pubbliche.

Gli exploit riguardano le seguenti note vulnerabilità:

– Code execution through favicons link – Security Advisory 2005-37
Firefox e Mozilla Suite supportano la personalizzazione dei “favicons” attraverso il tag LINK rel=”icon”. Se un tag link viene aggiunto alla pagina e e gli viene attribuito un url javascript:, questo script verrà eseguito con privilegi maggiorati e potrebbe essere sfruttato per installare software nocivo.

– Arbitrary code execution from Firefox sidebar panel – Security Advisory 2005-39
I siti possono usare il target _search per aprire links nella sidebar di Firefox. Due controlli di sicurezza mancanti consentono a scripts nocivi prima di aprire una pagina protetta (come about:config) e poi di inserirvi uno script nocivo tramite url javascript:.

Le vulnerabilità sono presenti nelle versioni precedenti a Firefox 1.0.3 e Mozilla 1.7.7.

Si incoraggiano tutti gli utenti Mozilla ad aggiornare le loro copie dei softwares per renderli invulnerabili agli exploits ormai pericolosamente pubblici.

F-Secure: “We advice all Mozilla and Firefox users to immediately patch their browsers. Otherwise you might get nasty stuff happen on your computer just by surfing to the wrong site“.

Fonte: Tweakness.net