È disponibile per il download la versione 3.6.2 di Firefox (note di versione). Questo aggiornamento risolve il bug di sicurezza pubblicato su Secunia con l’identificativo SA38608. Il bug è stato confermato e classificato anche come Mozilla Foundation’s Security Advisory MFSA-10-08.

Gli utenti che già utilizzano Firefox 3.6 riceveranno automaticamente l’aggiornamento in queste ore; ricordiamo che è comunque possibile avviare manualmente la ricerca degli aggiornamenti attraverso l’apposito comando nel menu Aiuto.

Ricordiamo che il ramo 3.0.x non è più supportato da gennaio 2010. Per questo motivo consigliamo di effettuare quanto prima il passaggio alla versione 3.6 (dopo aver verificato i requisiti di sistema).

Per le richieste di supporto è possibile utilizzare l’apposita sezione del forum di Mozilla Italia.

Secondo Secunia, di tutte le falle che nel 2008 hanno interessato i browser, 115 erano contenute nel codice di Firefox, 31 in quello di IE, 32 in Safari e 30 in Opera. Ne consegue che nel famoso browser open source è stato stuccato un numero di falle quasi quattro volte superiore a quello di IE, e maggiore di quello di IE, Opera e Safari messi insieme.

Come sempre accade quando si confrontano questi dati, però, c’è sempre da considerare che non tutte le vulnerabilità hanno lo stesso livello di serietà e la stessa portata. Andrebbe poi tenuto conto di quali, tra queste debolezze, siano state effettivamente sfruttate da cracker e virus writer.

Pur con tutte le considerazioni del caso, e ammesso che i conteggi di Secunia siano esatti, le proporzioni non rendono certo onore a Mozilla. Quest’ultima si riscatta tuttavia nella fase di correzione dei bug, dove il team di sviluppo del Panda Rosso sembra vantare il più elevato tempismo: 43 giorni di media contro i 110 giorni di Microsoft. Per arrivare a questi numeri Secunia ha preso in considerazione il tempo trascorso tra il momento in cui le falle sono diventate di pubblico dominio e il tempo in cui è stata rilasciata la patch al grande pubblico.

Proprio in questi giorni preoccupa e fa discutere una presunta vulnerabilità di Firefox, IE e potenzialmente anche di altri browser, sfruttata da truffatori per pubblicare false aste di eBay. “Presunta”, perché c’è chi ritiene si tratti in realtà di una funzionalità, sfruttata ora per fini illeciti.

Fonte: Punto Informatico

Gli URI FirefoxURL vengono registrati da Firefox al momento dell’installazione in Windows, e possono essere sfruttati da un sito web maligno per eseguire comandi o codice a libera scelta. Ciò è possibile perché Firefox non controlla la validità dei parametri che gli vengono passati attraverso l’URI FirefoxURL.

"Utilizzando l’URI incriminata è possibile utilizzare Internet Explorer (o qualsiasi altro browser Windows based) per lanciare Firefox ed eseguire immediatamente del codice JavaScript", spiega questo advisory, dove vengono riportati anche diversi test di vulnerabilità. "È altresì possibile creare un profilo utente, caricare impostazioni di Firefox a propria scelta, e installare estensioni globali, il tutto senza il consenso dell’utente".

FrSIRT afferma di non essere a conoscenza di alcuna patch ufficiale, e propone agli utenti un workaround che contempla la cancellazione dal registro di Windows della chiave HKEY_CLASSES_ROOT\FirefoxURL.

Sia FrSIRT che Secunia hanno valutato la falla della massima gravità e, in attesa della patch, invitano gli utenti a visitare solo i siti fidati.

Fonte: Punto Informatico