Mozilla ha confermato la scoperta di una vulnerabilità critica nella sua più recente versione di Firefox spiegando che la falla sarà sanata entro la fine del mese. Secondo la programmazione del team di sviluppo di Mozilla, infatti, Firefox 3.6.2 dovrebbe essere distribuito il prossimo 30 marzo. “La vulnerabilità è già stata risolta e sono attualmente in corso i controlli di qualità ed i test per verificarne il corretto funzionamento“, ha dichiarato Mozilla. “Si tratta di una problematica critica che potrebbe essere utilizzata per eseguire codice nocivo, da remoto, sul sistema dell’utente“.
Il codice exploit non è stato reso pubblico dallo scopritore della vulnerabilità cosa che, fortunatamente, riduce nettamente i rischi di un eventuale sfruttamento su vasta scala della falla.
Nel corso di “Pwn2Own“, annuale competizione annuale tra hacker sponsorizzata da TippingPoint, vengono messe sotto torchio tutte le più recenti versioni del browser web disponibili sul mercato. Mentre Apple Safari e Google Chrome si presentano all’avvio della gara già aggiornati (entrambi i prodotti hanno recentemente abbracciato importanti aggiornamenti di sicurezza), in Firefox 3.6 sarà ancora presente il bug di sicurezza in corso di risoluzione. Gli organizzatori della manifestazione hanno comunque voluto precisare che i partecipanti non potranno far leva sulla vulnerabilità per la quale Mozilla è in procinto di rilasciare una patch. “Faremo del nostro meglio per verificare che vulnerabilità già note, come quella relativa a Firefox, non possano essere sfruttate nell’ambito del nostro concorso“, ha osservato Aaron Portnoy, uno dei responsabili di 3Com TippingPoint. L’edizione 2010 di “Pwn2Own” avrà inizio mercoledì 24 marzo.
Il prossimo 30 marzo Mozilla non solo rilascerà il primo aggiornamento per Firefox 3.6 (versione 3.6.2) ma distribuirà un “update” per Firefox 3.5 (release 3.5.9) e per Firefox 3.0 (release 3.0.19). L’aggiornamento 3.0.19 sarà l’ultimo destinato agli utenti di Firefox 3.0: Mozilla ha già invitato più volte gli utenti di questa versione del browser ad aggiornare il pacchetto.