«Extremely critical» è un giudizio che Secunia usa con molta parsimonia, ma è il giudizio usato per descrivere le due falle scoperte nel weekend nel browser Mozilla Firefox. In particolare sarebbe già stato pubblicato un exploit in grado di colpire le due vulnerabilità, mentre al momento non v’è notizia di aggiornamenti o patch in distribuzione per risolvere l’impellente problema.
Entrambe le falle riguardano la mancata validazione di codice JavaScript: la prima nell’attributo SRC del tag IFRAME, la seconda nel codice che imposta l’icona delle applicazioni da installare nel browser. La combinazione delle due falle identifica l’alta pericolosità potenziale di un attacco al sistema (il cui codice è liberamente disponibile e tale da poter eventualmente dare il via ad un potenziale attacco virulento). Unico fattore mitigante è il fatto che l’exploit deve passare per uno dei siti autorizzati ad avviare installazioni (“update.mozilla.org” e “addons.mozilla.org”): una volta tutelati i due siti da eventuali incursioni di malintenzionati, il problema è parzialmente limitato.
Nell’attesa che i tecnici Mozilla Foundation riescano a porre una pezza al problema che affligge gli oltre 50 milioni di Firefox già scaricati, all’utente della volpe (ivi compresa l’ultima versione 1.0.3) si consiglia di disabilitare l’uso di JavaScript. Il nuovo rilevante problema emerso nel principale rivale di Internet Explorer sembra confermare le tesi secondo cui solo con l’avvento della popolarità e dei grandi numeri sarebbero arrivati per Mozilla i primi seri problemi di sicurezza caratterizzati dalla possibile redditività di un attacco a tali sistemi vulnerabili. Finora il gruppo Mozilla ha sempre reagito con buona tempistica, e la nuova occasione caratterizzata dalle due vulnerabilità rappresenta una nuova sfida in tal senso.
Le alternative plausibili rimangono Internet Explorer (più e più volte, però, afflitto da problemi simili), o il nuovo Opera 8 (giunto ad oltre 2 milioni di download in pochi giorni).