Pericolosa vulnerabilità 0-day per Firefox 3.5

di Michele C. Soccio

Pubblicato 15 Luglio 2009
Aggiornato 12 Febbraio 2018 20:48

logo PMI+ logo PMI+

Una vulnerabilità critica nell’interprete JavaScript di Firefox 3.5 potrebbe mettere il browser open source in serio pericolo. La falla è sfruttabile per l’esecuzione di codice arbitrario su computer Windows e un exploit è già stato pubblicato.

Il problema riguarda Tracemonkey, il compilatore JIT (Just In Time) per JavaScript che Mozilla ha sviluppato per tenere il passo della concorrenza in tema di velocità di esecuzione delle applicazioni web.

Mozilla è già al lavoro per proporre un aggiornamento nel più breve tempo possibile. Nel frattempo consiglia agli utenti di disabilitare Tracemonkey, con le seguenti operazioni:

  • inserire nella barra degli indirizzi about:config;
  • dopo aver promesso di fare attenzione, scrivere nella casella del filtro in alto jit, in modo da mostrare solo le opzioni che ci interessano;
  • fare doppio click sull’opzione javascript.options.jit.content in modo da impostare il suo valore a false;

Questa soluzione tampone limiterà le prestazioni di Firefox 3.5, che utilizzerà il vecchio interprete JavaScript (quello di Firefox 3.0, per intenderci). Non appena Mozilla rilascerà l’aggiornamento di sicurezza insieme alla già prevista versione 3.5.0.1, occorrerà ripetere le operazioni di sopra, impostando questa volta il valore a true.

In alternativa è possibile avviare Firefox in Modalità provvisoria (Safe mode) direttamente dal menu di Windows: questa modalità oltre al compilatore JavaScript disabilita anche tutte le estensioni.