www.MegaLab.it

Sembra proprio che il team di Mozilla non abbia tregua. È stata scoperta una nuova vulnerabilità nel browser del panda rosso che, se sfruttata opportunamente, è in grado di causare la corruzione della memoria e, con essa, l'esecuzione di codice arbitrario sul sistema della vittima.

Il bug risiede nel nuovo interprete Javascript TraceMonkey ed è stato Simon Berry-Byrne a rivelarla.

Particolarmente semplice, a quanto pare, far scattare la trappola: basterebbe confezionare una pagina web utilizzando opportunamente determinati elementi HTML (come il tag font) ed indurre il proprio obbiettivo a visualizzarla con una versione non aggiornata del programma.

Rilasciato Firefox 3.5.1 che, oltre a chiudere la vulnerablità nel motore Javascript TraceMonkey, corregge anche un bug per gli utenti di Windows che ne rendeva lento l'avvio. A questo indirizzo il changelog completo.

Secunia ha bollato la falla come Highly critical, ma l'aggiornamento del browser non arriverà prima della fine del mese con Firefox 3.5.1, sebbene in rete siano già disponibili gli exploit in grado di sfruttare la vulnerabilità.

Nel frattempo, è possibile intervenire manualmente per arginare il problema seguendo questa procedura: in questo modo, si disabilita TraceMonkey e si ritorna alla modalità di interpretazione del codice Javascript propria di Firefox 3.0.

Il nuovo motore Javascript ha portato con sé pregi e difetti. Poco prima del rilascio ufficiale, vi è stato rilevato un bug che ha sensibilmente rallentato i lavori, e successivamente altre piccole incongruenze. Ma la vulnerabilità appena venuta alla luce è la prima, davvero seria, imputabile al nuovo componente.