Parigi – “Quando viene scoperta una nuova vulnerabilità la nostra capacità di reagire, trovare una soluzione e metterla nelle mani degli utenti è migliore di quella di Microsoft”. Così il presidente di Mozilla Europe , Tristan Nitot, ha voluto rispondere ad un recente rapporto in cui Symantec ha messo in dubbio le decantate doti di sicurezza dei browser di Mozilla.org.
Nel proprio studio Symantec ha evidenziato come nei primi 6 mesi del 2005 Firefox e Mozilla abbiano totalizzato un numero di falle quasi doppio rispetto ad Internet Explorer 6, segnando un record negativo anche per quel che riguarda il livello di gravità delle stesse.
Nitot ha replicato ai dati forniti dalla celebre società di sicurezza affermando che la velocità con cui la comunità open source è in grado di rilasciare le patch è decisamente superiore a quella di Microsoft . Il presidente di Mozilla Europe ha citato ad esempio la recente falla legata alla gestione dei domini IDN, di cui è stata rilasciata una soluzione temporanea a meno di 24 ore di distanza e una versione corretta dei browser (vedi più sotto) in poco più di una settimana.
“Se guardiamo ciò che fa Microsoft – ha chiosato Nitot – vediamo che questo mese ha deciso di posticipare una patch di sicurezza . Quel genere di cose che da noi non capitano”.
Nitot ha poi spiegato che, secondo le statistiche riportate dalla nota società di sicurezza Secunia , le vulnerabilità collezionate dal browser di Microsoft tra il 2003 e il 2005 sarebbero assai più serie di quelle scoperte in Firefox, ed in numero assai più abbondante: 85 advisory per IE contro 22 advisory per Firefox.
“Sostanzialmente le loro (di Microsoft, NdR) vulnerabilità sono più gravi”, ha detto il dirigente di Mozilla Europe. “Firefox ha dei buchi, certo, ma questi sono molto meno pericolosi. Preferireste avere un dito rotto o la testa decapitata?”
Altri membri della comunità open source, in questi giorni, hanno poi fatto notare come sia poco corretto confrontare il numero di falle uscite per un browser molto giovane come Firefox con quelle di un “veterano” come IE. Oltre a ciò, va aggiunto che mentre il codice di Firefox e fratelli è di pubblico dominio, quello di IE è chiuso in cassaforte: ciò significa che i bug hunter hanno vita ben più dura nello scovare le vulnerabilità.
Symantec ha sostanzialmente accolto queste osservazioni, rimarcando tuttavia come Nitot abbia evitato di commentare il sensibile incremento di vulnerabilità registrato da Firefox negli ultimi mesi. La società di sicurezza rimane convinta del fatto che Firefox, e in generale tutti gli altri prodotti open source, non posso essere giudicati a priori più sicuri: per valutarne realmente l’affidabilità e la robustezza è necessario attendere che la loro popolarità raggiunga livelli paragonabili a quelli di Windows e IE.
Come si è già accennato sopra, in questi giorni Mozilla Foundation ha rilasciato una nuova versione di Firefox, la 1.0.7, che corregge l’ormai nota vulnerabilità di IDN e una seconda falla di sicurezza, rivelata nelle scorse ore, che Secunia ha classificato con il massimo grado di pericolosità (extremely critical). Quest’ultimo problema, presente solo nella versione per Linux, potrebbe consentire ad un malintenzionato di utilizzare un’applicazione esterna per passare a Firefox degli script di shell inglobati all’interno di un URL. Firefox 1.0.7 corregge poi alcuni altri bug minori che, secondo gli sviluppatori, ne rafforzano stabilità e sicurezza. A breve si attende il rilascio di un analogo aggiornamento per Mozilla (1.7.12)
Nel frattempo il contatore dei download di SpreadFirefox.com ha superato quota 90 milioni.
“Se ne totalizzassimo altri 10 milioni entro il 9 novembre potremo dire di aver avuto 1 milione di download nel primo giorno del rilascio di Firefox 1.0, 10 milioni nel primo mese, e 100 milioni nel primo anno!”, informa entusiasta un post apparso sul sito dedicato alla promozione di Firefox.
Ti potrebbe interessare
22 set 2005