Rilasciato un aggiornamento che risolve vulnerabilità evidenziate nei giorni scorsi.
Mozilla ha appena rilasciato la versione 2.0.0.10 di Firefox. L’aggiornamento risolve essenzialmente tre importanti vulnerabilità.
Come preannunciato nei giorni scorsi da Window Snyder, responsabile del settore sicurezza Mozilla, Firefox 2.0.0.10 corregge una falla nella gestione del protocollo jar. Secondo quanto spiegato da Snyder, un aggressore potrebbe sfruttare una vulnerabilità di sicurezza del browser opensource caricando su un sito web “fidato” (che consenta l’effettuazione di questo tipo di operazione) un archivio zip.
La vittima che, incautamente, cliccherà sul file zip, presente sul sito web, potrebbe quindi vedersi sottrarre informazioni importanti legate al sito web in corso di visita. Si tratta di un attacco “cross-site scripting” che un malintenzionato può mettere in atto in forza della mancata validazione operata da Firefox sulla tipologia dell’archivio.
La seconda problematica risolta dalla nuova versione del browser opensource è collegata all’uso di redirect: se il file zip viene caricato da un sito web, attraverso un reindirizzamento, l’oggetto verrà trattato come se appartenesse al sito web di partenza. L’aggressore, in questo caso, potrebbe trarre vantaggio da siti web che offrono la possibilità di effettuare liberamente redirect od ospitare gratuitamente contenuti caricati dall’utente. E’ ad esempio ben conosciuta una dimostrazione basata sull’utilizzo di GMail. In questo caso l’aggressore, utilizzando le tecniche sopra illustrate, può divenire in grado di leggere, ad esempio, la lista dei contatti memorizzata in GMail. A partire dalla versione 2.0.0.10 di Firefox, il browser supporta quindi lo schema “jar” solamente per i file che impiegano il tipo MIME corretto (application/java-archive).
L’aggiornamento appena rilasciato, inoltre, integra importanti modifiche che consentono, nel caso di reindirizzamenti, di considerare il sito web finale come quello di origine per il file che si sta scaricando. Firefox 2.0.0.10 include anche alcune correzioni che contribuiscono a migliorare la stabilità del prodotto. Alcune tipologie di crash, infatti, hanno evidenziato la possibilità per un aggressore – sotto alcune circostanze – di eseguire codice potenzialmente nocivo. L’update provvede a sanare anche queste lacune. La nuova versione di Firefox è installabile attraverso la funzionalità di aggiornamento automatico del prodotto (menù ?, Controlla gli aggiornamenti).
