La funzione di conversione dtoa() inguaia anche Thunderbird 2

di Massimo Rabbi

Pubblicato 16 Dicembre 2009
Aggiornato 12 Febbraio 2018 20:48

logo PMI+ logo PMI+

Qualche settimana avevamo parlato dell’importante aggiornamento per Opera con la versione 10.10, che aveva visto il fix di una vulnerabilità legata alla funzione di conversione da stringhe a numeri “dtoa()”.

Maksymilian Arciemowicz ha scoperto che la falla affligge anche il noto client di posta open source Mozilla Thunderbird.

La falla permette di effettuare l’injection prima e l’esecuzione poi di codice arbitrario, il tutto sfruttando alcuni caratteri di formattazione particolari.

Il bug in questione, come ricordiamo, era noto già dalla fine di giugno e in molti advisories, specie in quelli riguardanti i browser, classificato come “estremamente critico”.

Nonostante la vulnerabilità sembra sia stata corretta nell’imminente versione 2.0.0.24 di Thunderbird, attualmente l’unica versione disponibile per il download è la 2.0.0.24pre.

L’attuale versione ovvero la 2.0.0.23 è stata rilasciata ancora ad agosto ed è abbastanza strano che Mozilla Foundation abbia tardato così tanto per rilasciare un aggiornamento alla serie 2.x.

Tra le possibili spiegazioni l’impiego di tutti gli sforzi per ultimare i lavori su Thunderbird 3 verso su cui si consiglia la transizione visto che non interessata dal bug.

Arciemowicz ha inoltre fatto sapere come anche svariati addons per Thunderbird siano interessati dal problema, tra questi per citare i più famosi Lightning 0.9 e Thunderbrowse 3.2.6.7.