Firefox 3.6.13 e 3.5.16: importante aggiornamento tappabuchi

L’ultimo aggiornamento del browser open-source Firefox rilasciato lo scorso week-end va a patchare ben 13 vulnerabilità che espongono gli utenti Windows e Mac a possibili attacchi da parte dei crackers.

Alcune falle che interassano il software di casa Mozilla, possono essere sfruttate per lanciare attacchi “drive-by-download” e conseguente esecuzione di malware, semplicemente navigando apposite pagine web.
11 vulnerabilità su 13 sono state etichettate come “critical”, poichè per l’appunto non richiedono alcuna interazione utente al di là della normale navigazione.
Una patch, è in realtà un nuovo aggiornamento per una issue che Mozilla era convinta di aver definitivamente fixato già nel mese di marzo.

Altre possibili conseguenze delle falle individuate sono attacchi di tipo cross-site scripting (XSS), Denial-of-Service (DoS) e bypass della sicurezza Java.

Ecco una lista delle vulnerabilità critiche che interessano le versioni Firefox 3.5 e 3.6:

  • MFSA 2010-84 XSS hazard in multiple character encodings
  • MFSA 2010-83 Location bar SSL spoofing using network error page
  • MFSA 2010-82 Incomplete fix for CVE-2010-0179
  • MFSA 2010-81 Integer overflow vulnerability in NewIdArray
  • MFSA 2010-80 Use-after-free error with nsDOMAttribute MutationObserver
  • MFSA 2010-79 Java security bypass from LiveConnect loaded via data: URL meta refresh
  • MFSA 2010-78 Add support for OTS font sanitizer
  • MFSA 2010-77 Crash and remote code execution using HTML tags inside a XUL tree
  • MFSA 2010-76 Chrome privilege escalation with window.open and <isindex> element
  • MFSA 2010-75 Buffer overflow while line breaking after document.write with long string
  • MFSA 2010-74 Miscellaneous memory safety hazards (rv:1.9.2.13/ 1.9.1.16)

Gli utenti dovrebbero aver già aggiornato il proprio browser tramite il classico sistema di aggiornamento automatico, alle versioni 3.5.16 e 3.6.13.
Nel caso cosi’ non fosse, l’update è fortemente consigliato.

Mozilla alza la posta: 3000$ per un bug!

A quanto pare Mozilla ha alzato il premio messo in palio per coloro che individuano una vulnerabilità di sicurezza nei prodotti di punta della software house open-source: Firefox e Thunderbird.

La nuova cifra è infatti di ben 3000$, un grosso salto se si considerano i “soli” 500$ che fin dal 2004 venivano pagati per i vari bug scoperti.

Nel programma di bug-hunting di Mozilla sono stati aggiunti due nuovi prodotti: Mozilla Services e Firefox Mobile.

Lucas Adamski, security engineer director di Mozilla, ha scritto sul blog del gruppo riguardo la nuova “taglia” e indicato quelle che sono le regole fondamentali per aggiudicarsela:

  • il bug deve essere originale e mai stato pubblicato prima;
  • il bug deve essere di tipo remote exploit;
  • il bug deve essere individuato in una delle ultime versioni ufficiali, beta o release candidate dei vari Firefox, Firefox Mobile, Thunderbird o Mozilla Services;
  • il bug non deve essere causato o individuato in plugin/estensioni di terze parti.

Firefox 4.0 non prima della fine 2010

Stando alla roadmap pubblicata sul wiki di Mozilla la nuova major release del noto browser open source Firefox non vedrà la luce prima dell’ultimo trimestre del 2010.

Sembra infatti che la versione Firefox 4.0 sarà rilasciata ad ottobre o novembre del prossimo anno.

Nel frattempo compariranno le minor release 3.6 e 3.7 previste rispettivamente per la fine di quest’anno e l’inizio/metà del prossimo.

Già all’inizio di questa estate erano stati annunciati alcuni dei cambiamenti all’interfaccia di Firefox che interverranno in occasione della major release.

Accolti con favore anche i rumor di rendere il browser più Chrome-like con la separazione dei processi di UI e gestione dei contenuti Web.

Sempre da Google Chrome dovrebbe essere ripresa l’idea un processo per ogni tab onde evitare fastidiosi crash e perdite di sessioni, rendendo così più stabile la navigazione.

Con tutta probabilità Mozilla sceglierà di rilasciare Firefox 3.6 in un periodo concomitante l’uscita del nuovo Microsoft Windows 7, prevista il 22 ottobre prossimo.

La versione codenamed Namoroka e basata su Gecko 1.9.2 porterà con sé alcuni miglioramenti tra cui una migliore browser-interaction, temi più leggeri, migliorie al motore Javascript TraceMonkey e un restore delle sessioni più affidabile.

Processi separati per le future versioni di Firefox

Secondo quanto riportato sul wiki di Mozilla, le prossime versioni di Firefox utilizzeranno due processi distinti per interfaccia grafica e gestione dei contenuti web delle pagine.
A differenza di Google Chrome e Internet Explorer 8, i tab non avranno processi dedicati: questa modifica è “prevista” molto più avanti nel tempo.

Gli sviluppatori Mozilla affermano che i vantaggi saranno tutti in performance e stabilità: utilizzare processi separati per l’UI e per i contenuti consentirà di avere un browser che non si blocca quando ci sono problemi con un sito web. Le versioni attuali di Firefox sono costituite da un unico processo.
Un’anteprima semi-funzionante del browser è prevista per metà luglio, seguita dal rilascio della maggior parte del codice per l’inizio di Novembre assieme a tweaks su performace e stabilità.
Ignota invece la data di un rilascio finale.

Mozilla sta altresì prendendo in considerazione l’idea di utilizzare lo stack di rete “preso” da Chromium per rimpiazzare Necko, la loro libreria di rete.

RIFERIMENTI:
Future Firefox to run separate processes, by Heise Open Source