Mozilla rilascia Firefox 3.0.8

Mozilla mette a disposizione per il

l’attesissimo

di Firefox, il cui rilascio,

inizialmente tra il 30 marzo ed il 1 aprile, serve a tappare al più presto due falle critiche a rischio exploit emerse nei giorni precedenti. Si tratta di una vulnerabilità portata alla luce dal ricercatore italiano Guido Landi e di una debolezza insita nel browser identificata da uno studente tedesco di nome Nils in occasione del concorso Pwn2Own 2009.

L’Advisory

identifica la vulnerabilità scoperta da Guido Landi e riconducibile direttamente alla gestione dei fogli di stile XSL: il bug permetterebbe infatti ad un utente malintenzionato di utilizzare all’interno di un sito Web del codice XSL malevolo, al fine di mandare in crash Firefox e iniettare così del codice arbitrario nel computer della vittima. La vulnerabilità si rivelerebbe particolarmente insidiosa per il fatto di rendere Firefox veicolo d’attacco anche all’interno delle piattaforme Mac OS X e Linux.

L’Advisory

identifica invece la falla

dal ricercatore tedesco in occasione della Zero Day Initiative indetta da TippingPoint e che coinvolge XUL, il linguaggio di Mozilla basato sull’XML. In alcuni casi infatti, il metodo “

” potrebbe portare Firefox all’exploit, aprendo così un varco nel computer delle vittime attraverso il quale veicolare codice malevolo. Tale vulnerabilità non coinvolge Firefox 2 o Thunderbird 2.

Mozilla batte quindi in velocità sia Microsoft che Apple nel correggere le vulnerabilità emerse nel corso del Pwn2Own 2009, mostrando in fin dei conti quanto relativa sia la sicurezza di un programma e quanto invece possa essere determinante una rapida risoluzione delle problematiche che inevitabilmente emergono nel tempo. Nel caso di Internet Explorer 8 RC1, anch’esso violato da Nils nel corso del contest, l’exploit appare essere stato “incatenato” nella versione finale solamente sotto Windows Vista SP1 e Windows 7,

ancora a piede libero nel casi di utilizzo sotto Windows XP.