Mozilla ha rilasciato il primo aggiornamento di stabilità e sicurezza relativo a Firefox 3, giunto così ora alla versione 3.01, nonché un ulteriore update rivolto a chi ancora utilizza la versione precedente del browser, giunto così alla versione 2.0.0.16. Gli aggiornamenti correggono tre vulnerabilità critiche isolate di recente e migliorano la stabilità del programma.
La prima vulnerabilità, identificata con il codice MFSA 2008-35, è stata portata alla luce dal ricercatore di sicurezza Billy Rios: passare un URI da linea di comando contenente al suo interno i simboli “|”, comporterebbe l’apertura di schede multiple, il tutto nel caso il browser non sia ancora in esecuzione. Tale tecnica può essere così utilizzata per lanciare URI chrome: tramite linea di comando e sfruttata per passare a Firefox URI che dovrebbero normalmente essere gestiti da applicazioni vettore, permettendo agli attacchi di propagarsi a Firefox tramite un altro browser (sfruttando ad esempio la cosiddetta “Safari Carpet-bombing vulnerability“).
La seconda vulnerabilità, identificata con il codice MFSA 2008-34, è stata segnalata tramite la Zero Day Initiative portata avanti da TippingPoint e coinvolge una falla presente nella struttura dati interna dell’array CSSValue; creando un numero elevato di referenze all’oggetto CSS risulta così possibile ottenere un crash del browser ed eseguire codice arbitrario all’interno del computer delle vittime prese di mira dall’attacco.
La terza vulnerabilità, identificata con il codice MFSA 2008-36, è relativa alla gestione delle immagini GIF sotto Mac OS X: una immagine opportunamente confezionata può così causare un crash del browser e permettere l’esecuzione di codice arbitrario. Tale falla riguarda esclusivamente Firefox 3.
Corrette, inoltre, ulteriori problematiche interne al browser:
- Risolti diversi problemi relativi alla stabilità dell’applicazione;
- Risolto un problema legato al mancato aggiornamento al primo avvio del database per la protezione antiphishing e antimalware;
- In alcune condizioni Firefox 3.0 non salvava correttamente l’elenco delle eccezioni per i certificati SSL;
- Aggiornato l’elenco interno Public Suffix;
- In alcuni casi, l’installazione di Firefox 2 nella stessa cartella in cui era stato installato Firefox 3 causava l’instabilità di Firefox 2. Questo problema è stato risolto in Firefox 2.0.0.15;
- Risolto un problema per cui la stampa di una selezione della parte centrale di una pagina poteva risultare incompleta (bug 433373);
- Risolto un problema su sistemi Linux: nel caso di utenti con connessione PPP (56k o DSL), Firefox si avviava sempre in modalità “Non in linea” (bug 424626).