www.MegaLab.it

Nei giorni scorsi sono emerse alcune vulnerabilità anche nei prodotti di Mozilla Foundation.

Il giovane Firefox 1.5 (e precedenti) in primo luogo mostra il fianco a sette vulnerabilità a pericolosità variabile, la più grave delle quali permette anche l'esecuzione di codice da remoto. Mozilla Foundation ha sfruttato l'occasione per inaugurare il nuovo sistema di aggiornamenti automatici e distribuire Firefox 1.5.0.1: il sistema di auto-update si è rivelato davvero eccellente.

In via precauzionale consiglio comunque di selezionare Help -> About Mozilla Firefox ed assicurarsi che la voce Version riporti la dicitura 1.5.0.1: se così non fosse sarà sufficiente selezionare Help -> Check for updates per forzare l'aggiornamento automatico sotto Firefox 1.5, oppure scaricare la versione completa per chi stesse ancora utilizzando le vecchie versioni 1.0.7 e precedenti.

La nuova build porta con se inoltre una interessante serie di bugfix e migliorie.

Problemi di sicurezza anche nella ormai antidiluviana Mozilla Suite. Secunia parla di due pericolose vulnerabilità che però sono tutt'ora senza soluzione. Mozilla Foundation ha infatti interrotto da alcuni anni lo sviluppo del prodotto.

A chi ancora utilizzasse la suite consigliamo vivamente di passare a Firefox + Thunderbird, o in alternativa di aggiornare a SeaMonkey, il nuovo progetto nato dalle ceneri di Mozilla Suite.

Ultime, questa volta anche per importanza, una serie di falle riscontrate in tutte le versioni di Thunderbird, per le quali ancora non è disponibile alcuna patch: in caso fosse abilitato l'utilizzo di Javascript nelle e-mail (di default è disattivato) un cracker potrebbe spedire una e-mail malformata ed eseguire danni a pericolosità variabile fra la sottrazione di informazioni e l'esecuzione di codice da remoto. In Thunderbird 1.5 è possibile verificare che Javascript sia effettivamente disabilitato selezionando Tools -> Options -> Privacy -> General ed accertarsi che l'opzione Block JavaScript in mail messages sia abilitata.

Ha ancora senso parlare di netta supremazia dei prodotti alternativi rispetto ad Internet Explorer anche come sicurezza? A mio avviso decisamente si.

Basta confrontare le vulnerabilità emerse in Internet Explorer ed in Firefox durante il 2005 per constatare che:

Firefox ha un 0% di vulnerabilità note ma per cui non esiste una patch, Internet Explorer il 41% (quasi la metà...)

Il 32% delle falle emerse in Firefox l'anno scorso ha una pericolosità compresa fra il molto pericoloso ed estremamente pericoloso, dato che sale al 47% per Internet Explorer

Penso ci sia molto su cui riflettere..