Un pacco di cerottoni per Firefox 3

Ieri Mozilla ha rilasciato un update di sicurezza per le versioni 2 e 3 del proprio browser che corregge diverse vulnerabilità, alcune delle quali sfruttabili da malintenzionati per eseguire codice da remoto
Ieri Mozilla ha rilasciato un update di sicurezza per le versioni 2 e 3 del proprio browser che corregge diverse vulnerabilità, alcune delle quali sfruttabili da malintenzionati per eseguire codice da remoto

Con uno degli aggiornamenti di sicurezza più sostanziosi dell’anno, ieri Mozilla ha corretto circa una dozzina di vulnerabilità relative a Firefox 2 e 3. Gli advisory che interessano gli utenti di Firefox 3 sono nove , quattro dei quali classificati con il più elevato grado di rischio.

Gli esperti di sicurezza avvertono che le falle più serie potrebbero essere sfruttate da malintenzionati per eseguire codice da remoto e, nei casi peggiori, installare malware o prendere il pieno controllo di un PC vulnerabile. In particolare, il bug descritto qui , relativo al parsing del formato http-index , potrebbe essere innescato da un cracker per mezzo di un header malformato: se un utente apre una pagina web contenente tale header, Firefox va in crash e può causare l’esecuzione di codice maligno.

Una falla analoga è quella relativa all’ nsFrameManager , anch’essa sfruttabile per crashare il browser ed eseguire del codice a distanza. Il bug relativo a XSS e JavaScript può invece essere utilizzato da un malintenzionato per elevare i propri privilegi. L’ultimo bollettino “critico”, infine, descrive diverse vulnerabilità che possono portare al crash del browser o alla corruzione della memoria.

Firefox 2.0.0.18 risolve buona parte dei problemi di sicurezza corretti dalla versione 3.0.4 e qualche altro in più: qui le falle “critiche” sono infatti sei, e gli advisory undici. Mozilla Foundation consiglia a tutti gli utenti di Firefox 2 di passare quanto prima all’ultima versione del proprio browser.

Le nuove versioni di Firefox possono essere scaricate dai siti di Mozilla ( .com , europe.org e italia.it ) o attraverso la funzione di aggiornamento automatico integrata nel software.

Link copiato negli appunti

Ti potrebbe interessare

13 11 2008
Link copiato negli appunti