Come noto, il browser opensource Mozilla Firefox ancora non utilizza alcun meccanismo di sandboxing con lo scopo di chiudere in un recinto sicuro tutti gli elementi prelevati dalla rete Internet durante la navigazione sul web. Si tratta di una mancanza che è stata più volte rimarcata dagli analisti ma che Mozilla, ad oggi, non ha ancora provveduto a sanare. Interessante la recente analisi elaborata da Accuvant (ved. questo nostro articolo) che mette a confronto, nel dettaglio, tutti i principali browser web disponibili sul mercato esaminandone le funzionalità di protezione volte alla sicurezza dell’utente e dei dati memorizzati sul suo sistema.
L’argomento “sandboxing” è stato più volte oggetto di analisi da parte dei ricercatori di sicurezza: già a suo tempo avevamo pubblicato una comparativa tra i principali browser presenti sul mercato. “Le sandbox consentono di alzare notevolmente il livello di sicurezza“, aveva fatto presente il noto ricercatore Dino Dai Zovi, “tanto che gli aggressori debbono orientarsi verso altre tipologie di attacco quali, ad esempio, la distribuzione di falsi programmi antivirus (rogue antivirus; ved. questa pagina e quest’articolo)”.
I tecnici di Adobe, nelle scorse ore, hanno comunicato di aver rilasciato una versione di Flash Player appositamente pensata per gli utenti di Firefox. La principale novità del plugin che permette la visualizzazione dei contenuti realizzati in formato Flash, consiste nell’aggiunta di un meccanismo di sandboxing mutuato da Adobe Reader X. Se per il momento Firefox non usa una sandbox per l’intero browser, quanto meno si potrà evitare che eventuali creatività Flash malevole possano compiere operazioni all’infuori del “recinto” all’interno del quale vengono eseguite.
Secondo Peleus Uhley, ingegnere software di Adobe, la nuova funzionalità “Protected Mode” della quale è stato arricchito il plugin Flash Player per Firefox ha richiesto all’incirca un anno di sviluppo. L’implementazione, ha dichiarato Uhley, è molto simile a quella usata nel caso di Reader X: “dal momento del suo lancio, datato novembre 2010, non abbiamo rilevato un singolo exploit in grado di dribblare le difese di Adobe Reader X“.
Lo sviluppo del nuovo plugin per Firefox sarebbe stato coadiuvato dagli stessi programmatori di Mozilla che hanno risolto alcuni dei principali bug legati all’integrazione con il browser web.
Il plugin Flash Player per Firefox contenente il meccanismo di sandboxing è per il momento ancora in versione “beta” (ved. questa pagina ed è compatibile con la release 4.0 del browser e versioni seguenti.