Pochi giorni prima dell ‘ inizio di un concorso di hacking che ha come obiettivo la vulnerabilità dei browser web, Mozilla ha posto rimedio a un baco di Firefox.
L ‘ aggiornamento a Firefox 3.6.2 risolve un bug critico in una routine di decompressione di font che potrebbe essere sfruttata per ottenere il ” crash del browser della vittima ed eseguire poi codice dannoso sul suo sistema “, ha spiegato Mozilla in un suo messaggio di sicurezza apparso lunedì sera.
Mozilla era stata messa sotto pressione per risolvere questa vulnerabilità, dopo che, il mese scorso, era stata inclusa dal ricercatore di sicurezza russo Evgeny Legerov, nel suo strumento di hacking VulnDisco, che viene venduto come un add-on per il kit Canvas penetration testing. Il team di Firefox aveva previsto di risolvere la questione la prossima settimana, ma ha deciso di anticipare i tempi dell ‘ aggiornamento, a quanto pare per la preoccupazione che il codice Legerov potesse usato impropriamente.
Il difetto riguarda Firefox 3.6, ma non le versioni precedenti del browser, ha specificato Mozilla. Nel post in cui descriveva tale vulnerabilità, Legerov aveva scritto di avere colpito il browser in esecuzione su Windows XP e Vista.
Il difetto risiede nel modo in cui Firefox implementa uno standard font basato su web, chiamato Web Open Font Format.
L ì aggiornamento di Firefox arriva proprio quando gli hacker si preparano a competere in un concorso di tre giorni alla conferenza di Vancouver sulla sicurezza, il CanSecWest. Durante l ‘ evento, i concorrenti cercheranno di entrare in un computer sfruttando bug precedentemente non individuati in Firefox, Internet Explorer, Safari e Chrome. I vincitori porteranno a casa il computer portatile in cui riusciranno a penetrare, e un premio in contanti di 10.000 dollari.
Mozilla è in buona compagnia, aggiornando il proprio software in vista del concorso. Apple e Google hanno fatto lo stesso in queste settimane.
A dire il vero, gli organizzatori della gara avevano già stabilito che il bug Legerov non potrà essere utilizzato, dal momento che è già stato divulgato.
Firefox 3.6.2 è disponibile per Windows, Mac, e Linux.
Andrea Gavioli