Firefox 3.6.2: risolto bug in vista della gara tra hacker

Pochi  giorni  prima  dell ‘ inizio  di  un  concorso  di  hacking  che  ha  come  obiettivo  la  vulnerabilità  dei  browser  web,  Mozilla  ha  posto  rimedio  a  un  baco  di  Firefox.

L ‘ aggiornamento  a  Firefox  3.6.2 risolve  un  bug  critico  in  una  routine  di  decompressione  di  font  che  potrebbe  essere  sfruttata  per  ottenere  il  ” crash  del  browser  della  vittima  ed  eseguire  poi  codice  dannoso  sul  suo  sistema “,  ha  spiegato  Mozilla  in  un   suo  messaggio di sicurezza  apparso  lunedì sera.

Mozilla  era  stata  messa  sotto  pressione  per  risolvere  questa  vulnerabilità,  dopo  che,  il  mese  scorso,  era  stata  inclusa  dal  ricercatore  di  sicurezza  russo  Evgeny  Legerov,  nel  suo  strumento  di  hacking  VulnDisco,  che  viene  venduto  come  un  add-on  per  il  kit  Canvas  penetration  testing.  Il  team  di  Firefox  aveva  previsto  di  risolvere  la  questione  la  prossima  settimana,  ma  ha  deciso  di  anticipare  i  tempi  dell ‘ aggiornamento,  a  quanto  pare  per  la  preoccupazione  che  il  codice  Legerov  potesse  usato  impropriamente.

Il difetto  riguarda  Firefox  3.6,  ma  non  le  versioni  precedenti  del  browser,  ha  specificato  Mozilla.  Nel  post  in  cui  descriveva  tale  vulnerabilità,  Legerov  aveva  scritto  di  avere  colpito  il  browser  in  esecuzione  su  Windows  XP  e  Vista.

Il  difetto  risiede  nel  modo  in  cui  Firefox  implementa  uno  standard  font  basato  su  web,  chiamato  Web  Open  Font  Format.

L ì aggiornamento  di  Firefox  arriva  proprio  quando  gli  hacker  si  preparano  a  competere  in  un  concorso  di  tre  giorni  alla  conferenza  di  Vancouver sulla  sicurezza,  il  CanSecWest.  Durante  l ‘ evento,  i  concorrenti  cercheranno  di  entrare  in  un  computer  sfruttando  bug  precedentemente  non  individuati  in  Firefox,  Internet  Explorer,  Safari  e  Chrome.  I  vincitori  porteranno  a  casa  il  computer  portatile  in  cui  riusciranno  a  penetrare,  e  un  premio  in  contanti  di  10.000  dollari.

Mozilla  è  in  buona  compagnia,  aggiornando  il  proprio  software  in  vista  del  concorso.  Apple  e  Google  hanno  fatto  lo  stesso  in  queste  settimane.

A  dire  il  vero,  gli  organizzatori  della  gara  avevano  già  stabilito  che  il  bug  Legerov  non  potrà  essere  utilizzato,  dal  momento  che  è  già  stato  divulgato.

Firefox  3.6.2 è  disponibile  per  Windows,  Mac,  e  Linux.

Andrea  Gavioli