La notizia era già nell’aria da qualche giorno, prontamente segnalata in questo articolo di Webnews: Mozilla ha rilasciato da poche ore Firefox 3.0.8 che va a corregge due gravi vulnerabilità.
L’aggiornamento, classificato come critico, corregge due bachi:
- MFSA 2009-13 Arbitrary code execution through XUL (Critical);
- MFSA 2009-12 XSL Transformation vulnerability (Critical).
In particolare, l’aggiornamento MFSA2009-12 corregge l’exploit zero-day pubblicato online dal ricercatore Guido Landi, tramite cui era possibile installare software malevolo sul sistema colpito.
L’altra vulnerabilità invece permetterebbe di mandare in crash il browser consentendo poi di eseguire codice arbitrario sul computer della vittima.
Da qualche ora, l’aggiornamento è distribuito in modo automatico e notificato tramite una finestra nel browser: qualora questo non accadesse, è sufficiente andare nel menu “? –> Controlla aggiornamenti” per eseguire manualmente la procedura.