Mozilla stucca un buco

Mozilla Foundation ha corretto una vulnerabilità che si annidava nelle versioni per Windows di Mozilla e Firefox, due browser la cui popolarità sta crescendo alla luce dei recenti problemi di sicurezza di IE
Mozilla Foundation ha corretto una vulnerabilità che si annidava nelle versioni per Windows di Mozilla e Firefox, due browser la cui popolarità sta crescendo alla luce dei recenti problemi di sicurezza di IE


Roma – È ancora tempo di patch per gli utenti del Web. Questa volta il cerotto va applicato alle versioni per Windows 2000 e XP dei software di punta della Mozilla Foundation .

Rivelato lo scorso mercoledì sulla mailing-list di sicurezza Full Disclosure, il problema è stato corretto il giorno seguente attraverso il rilascio di un piccolo fix e di nuove versioni aggiornate dei browser Mozilla e Firefox e del client e-mail Thunderbird.

La vulnerabilità, descritta qui , riguarda il modo in cui i software open source di Mozilla.org gestiscono i link contenenti il suffisso “shell:”. Tali link possono essere utilizzati da un aggressore per eseguire programmi o lanciare attacchi di denial of service: se il file richiamato dal link non viene trovato, il browser apre una nuova finestra fino a causare il crash dell’intero sistema.

“Il protocollo shell permette ad alcune applicazioni esterne di attivare Esplora Risorse di Windows (explorer.exe) usando il protocollo stesso per lanciare qualsiasi tipo di file associato ad un eseguibile in locale sul proprio computer”, è stato riportato sul sito MozillaItalia.org. “Questo aggiornamento è necessario solo per gli utenti Windows 2000 e XP che utilizzano Mozilla Firefox (versioni inferiori a 0.9.2), Mozilla Thunderbird (versioni inferiori a 0.7.2) o Mozilla Suite (versioni inferiori a 1.7.1)”.

La società di sicurezza Secunia ha spiegato che la falla potrebbe essere utilizzata in congiunzione con le vulnerabilità presenti in altre applicazioni di Windows per eseguire del codice malevolo. La gravità del problema, giudicata “moderata”, sarebbe tuttavia mitigata dall’impossibilità, per l’aggressore, di passare dei parametri ad un programma lanciato attraverso il protocollo shell.

Internet Explorer, secondo gli esperti, è esente dal problema: il browser di Microsoft chiede infatti conferma all’utente prima di eseguire un’applicazione evocata da un link “shell:”. Secunia ha tuttavia fatto notare come anche in IE, nel passato, siano emerse vulnerabilità legate al protocollo shell.
“La funzione shell: è di per sé insicura e dovrebbe essere disponibile solo per un ristretto numero di siti fidati o, ancor meglio, resa del tutto inaccessibile da un browser”, ha affermato Secunia in un comunicato.


Nelle scorse settimane, in seguito all’emergere di vari problemi di sicurezza di IE, il CERT ha raccomandato agli utenti di usare un browser alternativo a quello integrato in Windows: Mozilla e Firefox sono considerati, insieme ad Opera, i più validi contendenti di IE. L’emergere di questo bug mostrerebbe, secondo alcuni, che sebbene certi software possano essere considerati più sicuri di altri, nessuno di essi è perfetto: per tale ragione, il SANS Institute continua a raccomandare agli utenti di tenere aggiornati i propri sistemi con le ultime patch di sicurezza e firme antivirali indipendentemente da quale software e piattaforma utilizzino.

Proprio con l’obiettivo di semplificare l’aggiornamento dei propri software, la Mozilla Foundation ha annunciato che le prossime versioni di Firefox integreranno una funzione per la notifica automatica degli update.

I link alla patch e alle nuove versioni di Mozilla, Firefox e Thunderbird sono disponibili qui .

Stando ai dati pubblicati dall’osservatorio di WebSideStory , durante lo scorso mese la quota di mercato detenuta da IE si è ridotta dell’1%, il calo più vistoso da quando la società ha iniziato a monitorare il mercato dei browser nel tardo 1999.

“È la prima volta che registriamo una sostenuta tendenza verso il basso di IE”, ha affermato Geoff Johnston, un analista di WebSideStory. “È da circa un mese che assistiamo a questo trend, che si è ormai fatto regolare, ed ogni giorno registriamo una piccola variazione verso il basso”.

Gli analisti sostengono che questo è il risultato della campagna d’informazione che, come detto, ha visto il CERT ed altri organismi di sicurezza raccomandare agli utenti di usare software alternativi ad IE per meglio proteggersi dalle nuove minacce.

Il trend segnalato da WebSideStory, che ha portato la quota di IE dal 95,7% di inizio giugno al 94,7% di inizio luglio, sembra confermato dai dati forniti da Mozilla.org: secondo la fondazione open source, infatti, il numero di download di Firefox è sensibilmente cresciuto rispetto all’inizio dell’anno, ed il 28 giugno, in occasione della divulgazione dell’ultimo problema di sicurezza di IE, il volume giornaliero è addirittura raddoppiato.

Secondo WebSideStory, i browser della famiglia Netscape e Mozilla attualmente rappresentano circa il 4% del mercato, una quota che nell’ultimo mese è cresciuta del 26%.

Si riapre la guerra dei browser?

Link copiato negli appunti

Ti potrebbe interessare

11 07 2004
Link copiato negli appunti