Solo ieri arrivava dalla Germania l’appello ad abbandonare Internet Explorer in favore dei più sicuri Opera e Mozilla, ed oggi per quest’ultima l’ondata favorevole è già terminata: scoperte numerose e gravi vulnerabilità, nessuna versione è incolume e soprattutto risultano coinvolti sia Firefox che Thunderbird, ovvero sia browser che mail client.
Le vulnerabilità sono di varia matrice e la copresenza delle stesse rende la situazione ancora più pericolosa: una successione di exploit può infatti portare al pieno controllo esterno del sistema, all’esecuzione di codice da remoto, all’attacco tramite Cross Site Scripting o ancora alla sottrazione di dati sensibili.
Il dato più importante è che le falle risultano essere già dotate di patch. Per avere il sistema incolume da pericoli è infatti sufficiente possedere i vari prodotti marchiati dal draghetto rosso nelle seguenti versioni:
- Mozilla 1.7.3
- Firefox 1.0PR
- Thunderbird 0.8
Maggiori dettagli sono disponibili nel bollettino di sicurezza Secunia SA12526, nel quale sono indicati non solo i 10 analisti autori della scoperta, ma vengono altresì indicati i dettagli tecnici delle mancate restrizioni che hanno originato l’avvenuto allarme.
Visto e considerato che Mozilla ha recentemente offerto 500$ a chiunque avesse scoperto una falla grave in uno dei prodotti del gruppo, a conti fatti l’ultimo aggiornamento di sicurezza è costato circa 5000$. La generosa donazione avanzata dalla fondazione Shuttleworth al Mozilla Security Bug Bounty Program (5000$ per le prime 10 falle gravi) ha già trovato dunque completa destinazione.
