Punto informatico Network

20090715182157_400097728_20090715182123_575207229_xero_Firefox_broken.png

Il primo baco di sicurezza di Firefox 3.6 è stato corretto

23/03/2010
- A cura di
Zane.
Sicurezza - Un esperto russo ha individuato la prima vulnerabilità nella release più recente di Firefox. L'exploit è già disponibile (a pagamento), la patch ancora no. Si era mormorato che si potesse trattare di una bufala, ma Mozilla ha confermato l'esistenza del difetto. Update: gli esperti tedeschi suggeriscono di passare ad un browser alternativo. Update2: Mozilla rilascia l'aggiornamento.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

sicurezza (1) , firefox (1) , baco (1) , firefox 3.6 (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 97 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.
Il dibattito è aperto: partecipa anche tu! AvvisoQuesto contenuto ha ricevuto un numero significativo di commenti. Una volta conclusa la lettura, assicurati di condividere con tutti anche le tue impressioni! La funzionalità è accessibile subito in coda, ai piedi dell'ultima pagina.

Constatata l'attenzione concentratasi sul problema, Mozilla ha scelto di anticipare la disponibilità della versione corretta: Firefox 3.6.2 può essere scaricato da qui. L'update verrà veicolato a breve anche tramite la funzionalità di aggiornamento automatico integrata (Aiuto -> Controlla aggiornamenti per forzare la rilevazione).

Similmente a quanto successo con Internet Explorer in gennaio, l'Ufficio Federale per la Sicurezza Informatica tedesco (BSI) ha suggerito di abbandonare Firefox in favore di un browser alterativo, perlomeno fino a quando non arriverà una versione aggiornata ed epurata da questo problema.

Mozilla ha confermato ufficialmente l'esistenza della vulnerabilità. Il difetto sarà risolto con la versione 3.6.2 di Firefox: tale build è attualmente in fase di betatesting e verrà rilasciata pubblicamente il 30 marzo. Gli interessati possono scaricare una release candidate partendo da qui.

L'azienda di sicurezza Immunity Inc. ha rilasciato giovedì un exploit in grado di far leva su un nuovo problema in Firefox 3.6. In caso l'aggressione andasse a buon fine, sarebbe possibile eseguire codice da remoto sul calcolatore della vittima, installando così malware assortito o prendendone pieno controllo attraverso Internet.

La scoperta porta la firma di Evgeny Legerov, proprietario della azienda moscovita Intevydis. Stando a quanto dichiarato a The Register, l'exploit opera corrompendo la memoria heap allocata dal browser.

Gli esperti di Secunia hanno classificato il problema Highly Critical, penultimo scalino sul livello di guardia. Ad impedire di raggiungere il gradino più alto, Extremely Critical, parrebbe esservi solamente il fatto che l'exploit non è ancora stato distribuito pubblicamente: Immunity Inc. ha infatti inserito il codice all'interno del pacchetto VulnDisco 9.0, uno strumento commercializzato dall'azienda come addendum alla suite Immunity Canvas indirizzata ai professionisti del settore.

Pare comunque altamente probabile che, a questo punto, sia solo questione di giorni prima che qualche cracker riesca ad analizzare il funzionamento del software realizzato da Legerov e pubblicare le proprio scoperte su Internet, gettando così le basi per l'arrivo di un exploit pubblicamente disponibile.

Il problema è stato confermato da varie fonti: il codice parrebbe essere funzionante su sistemi governati da Windows XP SP3 oppure Windows Vista. Non si parla esplicitamente di Windows 7, Windows Server oppure Firefox in esecuzione su piattaforme Linux e Mac, ma ciò non significa che tali configurazioni siano al sicuro.

Mozilla non ha ancora rilasciato una patch ufficiale. Considerata l'entità del problema, è comunque molto probabile che un update arrivi già nel corso di questa settimana.

Gnulinux866 ha segnalato nei commenti che diverse fonti hanno espresso qualche perplessità circa la veridicità della scoperta: in rete circola ora il sospetto che possa essersi trattato solamente di una bufala. Mozilla, frattanto, ha comunicato di non aver ricevuto risposta alla richiesta di informazioni inviata allo scopritore della presunta debolezza.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 6.24 sec.
    •  | Utenti conn.: 57
    •  | Revisione 2.0.1
    •  | Numero query: 19
    •  | Tempo totale query: 5.68