Dopo alcune ore dal lancio di Firefox 3.0, un ricercatore di sicurezza ha venduto una vulnerabilità critica al programma di bug hunters di TippingPoint. Il problema di sicurezza, secondo quanto annunciato dalla società, è da considerarsi grave. Al momento Mozilla sta lavorando per risolvere il problema riportato e nessun dettaglio verrà rilasciato fino a quando non sarà rilasciata una patch.
Molti esperti del settore si aspettavano una notizia del genere. A poche ore dal rilascio dell’ultimo nato di casa Mozilla una vulnerabilità considerata critica è stata inviata al team di sviluppo di Mozilla affinchè venga al più presto risolta. La vulnerabilità in questione è presente anche in versioni precedenti del noto browser Firefox per questo pare proprio che sia stato scelto il momento migliore per condividere la notizia con il grande pubblico.
La nota società di sicurezza informatica TippingPoint, con il suo programma di ricerca di vulnerabilità denominato Zero Day Initiative (ZDI) ha acquistato tale vulnerabilità da un ricercatore di sicurezza. La società non ha rilasciato al pubblico molti dettagli ma tale problema è stato classificato come critico e può essere utilizzato per eseguire del codice arbitrario sui computer vulnerabili.
Per sfruttare tale vulnerabilità, ad ogni modo, è richiesta l’interazione dell’utente come cliccare su un link presente in una mail o visitare una specifica pagina web opportunamente modificata dall’attacker. Non è comunque noto se tale vulnerabilità sia presente in tutte le versioni di Firefox o solo su alcuni sistemi operativi.
D’altra parte Mozilla Foundation si è impegnata a fondo per il rilascio della versione 3.0 di Firefox che, anche se con qualche problema, ha prodotto oltre 8 milioni di download nelle prime ventiquattro ore.
La patch per risolvere il problema di sicurezza riportato, secondo Mozilla, sarà disponibile entro pochi giorni. Ai posteri l’ardua sentenza!
Articoli correlati e approfondimenti
IMHO si son preparati questa cosa da tempo, aspettavano solo il momento propizio per buttare un po’ di fango. Questo vuol dire che Firefox fa sempre più paura ai suoi rivali.
Enrico
(
Rispondi )
Beh, secondo me gli stà bene, loro se scoprono falle di altri browser vanno a spararle ai 4 venti TRANNE che subito agli sviluppatori del browser, vedi quello che è successo con OPERA mesi fa… e ora me la rido, pensino meno ai record e di più alla sostanza che invece che fare passi avanti peggiorano -.-
(
Rispondi )
ricordo che le falle gravi in genere non colpiscono con la normale navigazione, ma sono casi potenziali che si verificano cliccando link in email (o siti maliziosi;) )
a me non è mmai capitato d’imbattermi in quei problemi…per i normali utenti sono più un caso teorico che pratico.
non c’è dubbio che firefox grazie a strumenti di debug riesca a ricercare più facilmente le falle, ma questa è la sicurezza e la potenza del opensource,
chi di noi sa come viene interpretato il codice in un browser proprietario????
(
Rispondi )
ciao Paolo,
devo dire che quello che dici non è proprio corretto. Le falle gravi sono quelle che vengono sfruttate di più: basti pensare a quanti siti web vengono, in primo luogo, bucati e poi modificati per ospitare al loro interno del codice malizioso capace di sfruttare tali vulnerabilità.
Al momento Firefox non è ancora visto di buon occhio in quanto la sua fetta di mercato è piuttosto bassa rispetto ad Internet Explorer. A chi fa queste cose conviene spendere più tempo a trovare una falla su IE che su Firefox proprio per la sua diffusione.
Gli strumenti di debug come esistono per Firefox esistono anche per Internet Explorer. Devo però aggiungere che questa cosa dell’open source più sicuro lascia il tempo che trova dato che l’utente basso/medio non è capace di controllare il codice sorgente dell’applicazione nè tanto meno gliene può importare qualcosa.
Se dopo vuoi parlare di come vengono trovate vulnerabilità sia su Firefox che su Internet Explorer sarò lieto di risponderti nuovamente dato che non è, per così dire, poi tanto difficile farlo.
(
Rispondi )
a questo punto sembra quasi che la fantomatica società sia di BigM per gettare 1 pò di fango… 
(
Rispondi )
@ganger:
è un argomento molto interessante..
come vengono trovate le vulnerabilità nei browsers?
(
Rispondi )
