www.MegaLab.it

È da pochissimi giorni stato rilasciato il nuovo Firefox (3.5.1, è il numero di versione), release resa disponibile al fine di porre rimedio a una falla di sicurezza grave non poco. Ma ecco che il browser del panda rosso è di nuovo sotto scacco da una vulnerabilità ad alto rischio.

Sebbene Mozilla avesse dichiarato trattarsi di un problema di gravità non così eccessiva come riportavano i notiziari online, rilasciando Firefox 3.5.2 ha definitivamente risolto il problema.

Il bug può essere sfruttato da remoto con uno stack based buffer overflow portato da una stringa eccessivamente lunga codificata in Unicode. Sfruttando la vulnerabilità, si può portare il browser a crash, blocchi, allocazione di una quantità particolarmente elevata di memoria virtuale e persino ad esecuzione remota di codice arbitrario.

Su una scala di quattro livelli, Security Focus classifica la falla come di livello due, proponendo anche un Proof of Concept che dimostra l'effettiva entità del bug.

Non sono ancora disponibili patch, né sono stati presentati metodi con cui aggirare il problema. L'unico modo per mettersi realmente ai ripari è quello di disabilitare completamente l'interprete Javascript del browser (Strumenti -> Opzioni -> Contenuti -> Attiva Javascript).

Anche l'uso di NoScript sembra proteggere dalla falla: va però da sé che molti siti Internet potrebbero divenire inutilizzabili disabilitando le funzionalità di scripting.