www.MegaLab.it

Dopo solo un paio d'ore dalla distribuzione di Firefox 2.0.0.12, The Hacker Webzine ha comunicato di aver scoperto che la nuova versione del navigatore web non risolve anzi peggiora ulteriormente la vulnerabilità di "directory traversal". Ora non serve nemmeno sfruttare alcuna estensione per poter avere accesso a tutte le preferenze del browser e aprire qualsiasi file presente all'intero della cartella di installazione del panda rosso. E ulteriori ricerche potrebbero condurre alla scoperta di problemi correlati ancora peggiori. In attesa di un probabile fix in tempi brevi da parte di Mozilla, una delle soluzioni consigliate dai bug hunter per mitigare il problema è l'impiego dell'estensione NoScript.

Anno nuovo, Firefox nuovo: la giovane Mozilla Foundation, che ha da poco festeggiato il decimo compleanno, distribuisce in rete la nuova versione del browser open source più usato al mondo. Firefox 2.0.0.12 esce dunque alcuni mesi dopo l'ultima revisione 2.0.0.11, portando in dote dieci bugfix di importanza variabile.

Richiusa prima di tutto la famigerata vulnerabilità di "directory traversal" scoperta dal ricercatore Window Snyder, specialista di sicurezza in forze proprio a Mozilla. In un articolo pubblicato il 22 gennaio scorso, Snyder ha descritto la possibilità di sfruttare una falla presente nel protocollo Chrome - usato nei software Mozilla per gestire l'interfaccia utente - per usare alcune particolari estensioni di Firefox come porta di accesso ai file presenti sul disco fisso. In tal modo un utente malintenzionato avrebbe potuto individuare la presenza di particolari software sul sistema e sfruttare attacchi progettati di conseguenza.

Inizialmente indicato come pericolo di grado "low", il baco è finito per essere classificato come "high" e dovrebbe essere risolto con Firefox 2.0.0.12. Tra le vulnerabilità affrontate nella nuova versione vi si trovano poi bachi che corrompono le password memorizzate, crash con segni di corruzione della memoria, scalate di privilegi e attacchi XSS con la possibilità di eseguire codice da remoto.

Come prevede il costume Mozilla, l'elenco completo e dettagliato dei problemi risolti è presente alla pagina delle vulnerabilità note nei prodotti della fondazione, mentre il download di Firefox 2.0.0.12 è disponibile sulla pagina dedicata al browser o attraverso il download automatico dall'interno del pandino - qualora tale funzionalità fosse attiva.

Dando uno sguardo al prossimo futuro, i lavori procedono anche su Firefox 3: a due mesi e oltre dall'uscita della beta 2, non dovrebbe mancare molto per il rilascio della prossima versione preliminare della nuova main release del pandino, rilascio previsto - se tutto va come dovrebbe - già dalle prossime ore. La timeline Mozilla parla inoltre di una quarta beta distribuita entro la fine di febbraio, prima del passaggio al ciclo delle Release Candidate e infine alla build definitiva.