A una settimana esatta dalla distribuzione di Firefox 37 , Mozilla si è trovata ora costretta ad aggiornare il browser del Panda Rosso allo scopo di neutralizzare un bug potenzialmente molto pericoloso sul fronte delle connessioni sicure.
Firefox 37.0.1 viene quindi rilasciato per disabilitare la cosiddetta “cifratura opportunistica”, funzionalità introdotta con Firefox 37 e pensata per offrire una qualche forma di comunicazione sicura anche con protocollo in chiaro (HTTP) sui server HTTP/2.
Contrariamente alle aspettative di Mozilla, però, la cifratura opportunistica di Firefox 37 si è rivelata essere un boomerang e ha di fatto peggiorato sensibilmente la sicurezza del browser: un ricercatore ha individuato un bug nell’implementazione di Alt-Svc su Firefox, bug che può essere sfruttato per bypassare completamente la verifica di un certificato SSL ed evitare la visualizzazione di un eventuale messaggio di allarme da parte del browser.
Il baco di Firefox 37 potrebbe quindi consentire ai cyber-criminali di portare a compimento attacchi di tipo man-in-the-middle, impersonando soggetti esterni e mettendo a rischio la sicurezza dei dati personali e del sistema dell’utente.
Il problema non è di quelli risolvibili immediatamente, per questo Mozilla ha deciso di rilasciare una nuova versione di Firefox disabilitando temporaneamente la cifratura opportunistica su server HTTP/2. La funzionalità, corretta e migliorata dal punto di vista della sicurezza, verrà prevedibilmente introdotta con una futura versione del browser.
Alfonso Maruccia