Mozilla festeggia il successo dell’iniziativa Download Day promossa in occasione del lancio di Firefox 3, la nuova e attesa versione del noto browser open source. Nell’arco delle prime 24 ore di disponibilità del software sono infatti stati registrati oltre 8 milioni di download, superando così ampiamente il tetto di 5 milioni prefissato da Mozilla. Nell’attesa che l’epico risultato venga analizzato per essere eventualmente inserito nel Guinnes dei primati, è però apparsa all’orizzonte una vulnerabilità di tipo Zero Day, in grado di minare la sicurezza anche di chi ha appena installato la nuova fiammante terza incarnazione di Firefox.
Il Download Day è terminato ieri alle ore 20.15 in Italia, mentre un contatore mostrava 8.800.000 download, una cifra decisamente superiore a quanto registrato dalla seconda versione del browser nelle prime 24 ore di vita, occasione nella quale il software era stato scaricato 1,6 milioni di volte. Il picco massimo è stato registrato nella giornata di martedì, con 14.000 download al minuto, mentre nel corso della giornata di mercoledì la frequenza di scaricamento si è attestata sui 6.000 download al minuto. L’Italia si è dimostrata uno dei paesi europei più interessati alla nuova versione del browser, con circa 240.000 copie scaricate, posizionandosi così settima nella classifica e superando paesi come Belgio, Olanda, Russia, Lituania, Romania e Ungheria. Decisamente importante il contributo della Germania, con 730.000 download e degli Stati Uniti, in cui Firefox 3 è stato scaricato circa due milioni e mezzo di volte.
Sono però bastate 5 ore per scoprire una vulnerabilità insita nella nuova versione del browser:
TippingPoint, leader nella tecnologia per l’intrusion prevention, ha verificato la falla scoperta da alcuni ricercatori e riportato prontamente la notizia a Mozilla. La vulnerabilità, che affligge anche Firefox 2.0, permette ad un utente malintenzionato di prendere il controllo del computer di una malcapitata vittima e di eseguire al suo interno del codice arbitrario. Affinché sia possibile eseguire l’exploit, è però necessario che l’utente clicchi un link all’interno di una email o visiti una pagina Web malevola.
Al momento Mozilla è al lavoro per proporre una patch correttiva. TippingPoint non ha divulgato ulteriori informazioni in merito; non appena sarà disponibile la patch, verrà prontamente segnalata e discussa all’interno degli avvisi relativi alla Zero Day Initiative.