La Release Candidate era stata annunciata nei giorni scorsi ed ora la versione definitiva è già online: Firefox è in distribuzione nella release 3.6.2 (7.8 MB), versione resa necessaria in seguito alla scoperta di una grave vulnerabilità che metteva a rischio la navigazione ormai da un mese.
La segnalazione originaria del bug risale infatti ormai a fine Febbraio, ma Mozilla non ha tenuto in considerazione il tutto poiché, in assenza di indicazioni precise, il problema non era verificabile. Quando l’autore della scoperta Evgeny Legerov ha fornito le informazioni necessarie, però, il team di sviluppo Firefox si è immediatamente messo al lavoro sviluppando in tempi rapidi una soluzione ora pronta al download. Trattasi per Mozilla dell’ottavo aggiornamento dell’anno e la vulnerabilità è descritta come una errata valutazione a livello di WOFF parser nella routine di decompressione di un font (con conseguente overflow).
«Un malintenzionato può usare questa vulnerabilità per mandare in crash il browser della vittima ed eseguire codice arbitrario sul suo sistema». Trattasi però di un bug riscontrabile soltanto nella versione 3.6 del browser, dunque tutte le release antecedenti sono al riparo da ogni pericolo.
«Grazie alla sua sicurezza, alla sua stabilità, alla sua velocità e a molto altro ancora, Firefox si adatta perfettamente al tuo modo di utilizzare il Web. È gratuito e semplice da installare»: sebbene Mozilla descriva così il proprio browser, le istituzioni tedesche hanno preceduto la nuova release con un monito finalizzato a sconsigliare l’uso di Firefox a causa della grave vulnerabilità segnalatasi. La release stabile è stata però anticipata di qualche giorno rispetto a quanto preannunciato ed il monito cade pertanto nel vuoto a poche ore dal rilascio di una 3.6.2 che, oltre a risolvere il grave bug al centro dell’attenzione, sistema anche alcuni problemi di stabilità.
Trattasi di un provvidenziale aggiornamento poichè anticipa di qualche ora la temuta CanSecWest security conference, quando l’attacco ai browser diventa motivo di competizione e possibile grave danno di immagine per i vari browser interessati. Tutti i browser maggiori hanno rilasciato aggiornamenti in questi giorni al fine di risolvere le ultime vulnerabilità emerse: il bug di Legerov è già stato escluso dalla competizione e Firefox 3.6.2 mette in fuorigioco l’exploit pubblico per cui si è posta una pezza. Non saranno comunque giorni tranquilli per gli esperti di sicurezza: dal “Pwn2Own” alle patch il passo sarà necessariamente breve.