Quelli di voi che utilizzano il browser Firefox con frequenza giornaliera si saranno già accorti che pochi giorni fa, il 17 luglio, è stato necessario eseguire l’aggiornamento alla versione 2.0.0.5.
Non tutti sanno, però, che la nuova versione è stata dettata da alcuni bug che minavano la sicurezza informatica. In particolare delle 8 falle individuate, tre erano classificate come “critiche” mentre altre due come “gravi”.
A tutti quelli che hanno configurato il proprio browser per la ricerca automatica degli aggiornamenti è stato quindi consigliato caldamente di passare a questa nuova versione.
Tra le vulnerabilità è stata risolta quella relativa al lancio di Firefox che poteva avvenire da Internet Explorer. In pratica utilizzando una URL particolare come parametro era possibile lanciare il browser assieme a codice malizioso e potenzialmente dannoso senza passare per la validazione dei parametri che normalmente avviene quando il browser viene invece lanciato da linea di comando.
Ovviamente questa vulnerabilità era utilizzabile sia da trojan che da pagine web maliziose e link creati ad hoc per sfruttare la falla. Sul tema, Microsoft e la comunità di Mozilla avevano avuto uno scontro verbale che forse ha portato a scrivere la seguente e curiosa frase di puntualizzazione proprio nella spiegazione di Mozilla sul sito ufficiale:
Altre applicazioni Windows potrebbero soffrire dello stesso problema ed eseguire codice malizioso. Questo fix risolve solamente la vulnerabilità in Firefox e Thunderbird e impedisce di accettare in ingresso tale codice malizioso. Questa patch non risolve la vulnerabilità in Internet Explorer.
Altra patch risolve invece un problema legato alla stabilità del software. In particolari sotto determinate circostanze si erano verificati alcuni crash che mostravano di poter corrompere la memoria in alcune sue parti. Gli sviluppatori del browser avevano immaginato che, dopo un attento studio, alcuni hacker avrebbero potuto sfruttare la falla anche per eseguire degli exploit ed eseguire codice arbitrario. Per questa ragione il problema è stato indicizzato tra i bug ed ora risolto.
In ogni caso, come sempre, mozilla offre un report completo di ogni vulnerabilità a cui è stata proposta una patch. Tali report sono disponibili sul sito ufficiale.