venerdì 29 ottobre 2010

Mozilla rilascia patch per riparare grave falla zero-day


Le security house Sophos e Avira, hanno reso nota la presenza di una falla zero-day che interessa il browser di navigazione Firefox sia nella versione 3.5.x che nella più recente release 3.6.x, che Mozilla ha prontamente patchato con due nuove versioni, rispettivamente la 3.5.15 e la 3.6.12. Il bug  permetteva ad un trojan di installare un software virale semplicemente visualizzando una pagina web opportunamente artefatta. L'attacco veniva innescato dall'esecuzione di un codice Javascript. 

Questo è stato possibile sfruttando una vulnerabilità del programma che ha consentito ad un gruppo di hacker di installare sui computer delle vittime un trojan piuttosto pericoloso, con il compito di aprire le porte ad una connessione esterna, entrando in contatto con due indirizzi IP localizzati nella zona di Taiwan ed integrandosi in una nuova botnet. Si tratta di un exploit conosciuto anche in precedenza, al quale fino ad oggi non era stato ancora posto rimedio. 

Immediatamente avvertita, la Mozilla Foundation ha confermato l’esistenza di tale vulnerabilità. Mozilla tuttavia ha assegnato al bug la massima urgenza e ha rilasciato velocemente un aggiornamento per le versioni risultate vulnerabili all'attacco. Il bug è di tipo “zero-day” ed un primo intervento era stato già messo in atto. Il sito Web incriminato, infatti, era stato prontamente bloccato tramite il sistema di protezione dai malware integrato in Firefox e basato sulle Google SafeBrowsing API

La minaccia potrebbe risiedere tuttavia anche in altre pagine e dunque, per coloro che non hanno ancora provveduto ad effettuare l'aggiornamento del proprio browser, il consiglio di Mozilla è quello di muoversi con estrema cautela, specialmente in merito a siti dei quali non è possibile conoscere l’effettiva affidabilità. Due valide soluzioni momentanee indicate da Mozilla per garantire maggiore sicurezza alla propria navigazione erano la disabilitazione di JavaScript, oppure l’installazione del componente aggiuntivo NoScript

Analogamente, la medesima vulnerabilità metteva in rischio la sicurezza degli utenti che utilizzano il client di posta Thunderbird, anch’esso aggiornato solo una settimana fa alle versioni 3.1.5 e 3.0.9, ma tempestivamente portato alle release 3.1.6 e 3.0.10. Inoltre Daniel Veditz, un ingegnere di sicurezza di Firefox, ha detto che Firefox 4 beta non è a rischio, nei commenti allegati al post sul blog di Mozilla che ha confermato la falla. E proprio Firefox 4.0 è in ritardo: come già la versione 3.6, anche questa non vedrà la luce nei tempi previsti.

Nessun commento:

Posta un commento