Nuova falla in Firefox 3.5. Mozilla: non è grave

Una vulnerabilità è stata scovata nell'ultima versione di Firefox, la 3.5.1. Mozilla rassicura e minimizza. Nel frattempo sono arrivate le prime patch per Google 2.0

Roma – A meno di 48 ore di distanza dal rilascio, la scorsa settimana, di Firefox 3.5.1 , due esperti di sicurezza hanno scoperto una nuova vulnerabilità nell’ultima versione del celebre browser open source. Sebbene della falla esista già un exploit dimostrativo, Mozilla ha sottolineato che questa non può essere sfruttata per eseguire del codice a distanza.

“Alcune testate giornalistiche e software house dedicate alla sicurezza hanno erroneamente riportato che questo è un bug che può essere sfruttato (da un aggressore, NdR). Le nostre analisi indicano che non è così, ed infatti non abbiamo visto alcun esempio di codice d’attacco in giro”, ha commentato in questo post Mike Shaver, dirigente di Mozilla. Shaver ha poi tuttavia ammesso, in un aggiornamento al proprio post, che sotto Windows l’attuale exploit proof of concept causa il crash di Firefox 3.5.x, “almeno per certi utenti”.

Dopo la segnalazione di Shaver, sia il National Vulnerability Database che SecurityFocus hanno precisato nei rispettivi advisory che la vulnerabilità può essere utilizzata per attacchi di denial-of-service ma non per l’esecuzione di codice a distanza. Il problema appare dunque meno grave rispetto a quelli corretti la scorsa settimana in Firefox 3.5.0: ciò consentirà probabilmente a Mozilla di sviluppare una patch con meno urgenza.

Shaver ha infine spiegato che il bug interessa anche le versioni Linux e Mac di Firefox 3.5.x, ma in ciascuna piattaforma il problema si verifica all’interno di un componente diverso: la libreria di sistema ATSUI in Mac OS X e nelle librerie pango, glib o libc in Linux. Il livello di gravità, secondo il dirigente, rimarrebbe comunque invariato per tutti i sistemi operativi.

All’incirca nelle stesse ore in cui sono emerse le prime notizie relative alla falla di Firefox 3.5.1, Google ha rilasciato un aggiornamento di sicurezza per la versione stabile di Chrome, la 2.0. Entrambi i bug interessano l’application framework open source WebKit alla base di Chrome, e secondo Google possono essere sfruttati da un aggressore per eseguire del codice a distanza. Maggiori dettagli si trovano in questo advisory .

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Michael scrive:
    [OT] 12 Kg di bontà
    Chi lo spiega a questi pubblicitari che perdere 12 kg in un mese non fa bene?
    • ciliani scrive:
      Re: [OT] 12 Kg di bontà
      - Scritto da: Michael
      Chi lo spiega a questi pubblicitari che perdere
      12 kg in un mese non fa
      bene?Ah meno male, temevo che l'avviso pubblicitario fosse indirizzato solo a me e che google quindi si fosse accorto che sono ingrassato!!!
Chiudi i commenti