Mozilla, patch a tempo di record


Le software house di sicurezza Sophos e Avira, hanno reso nota la presenza di una falla zero-day che interessa il browser di navigazione Firefox sia nella versione 3.5.x che nella più recente release 3.6.x, che Mozilla ha prontamente tappato con due nuove versioni, rispettivamente la 3.5.15 e la 3.6.12. Il bug  permetteva ad un trojan di installare un software virale semplicemente visualizzando una pagina web opportunamente artefatta. L'attacco veniva innescato dall'esecuzione di un codice Javascript. Questo è stato possibile sfruttando una vulnerabilità del programma che ha consentito ad un gruppo di hacker di installare sui computer delle vittime un trojan piuttosto pericoloso, con il compito di aprire le porte ad una connessione esterna, entrando in contatto con due indirizzi IP localizzati nella zona di Taiwan ed integrandosi in una nuova botnet. Si tratta di un exploit conosciuto anche in precedenza, al quale fino ad oggi non era stato ancora posto rimedio.

Immediatamente avvertita, la Mozilla Foundation ha confermato l’esistenza di tale vulnerabilità. Mozilla tuttavia ha assegnato al bug la massima urgenza e ha rilasciato velocemente un aggiornamento per le versioni risultate vulnerabili all'attacco. Il bug è di tipo “zero-day” ed un primo intervento era stato già messo in atto: il sito Web incriminato era stato prontamente bloccato tramite il sistema di protezione dai malware integrato in Firefox e basato sulle Google SafeBrowsing API. Analogamente, la medesima vulnerabilità metteva in rischio la sicurezza degli utenti che utilizzano il client di posta Thunderbird, anch’esso aggiornato solo una settimana fa alle versioni 3.1.5 e 3.0.9, ma tempestivamente portato alle release 3.1.6 e 3.0.10. Inoltre Daniel Veditz, un ingegnere di sicurezza di Firefox, ha detto che Firefox 4 beta non è a rischio, nei commenti allegati al post sul blog di Mozilla che ha confermato la falla.

Nessun commento:

Posta un commento