Internet Explorer è da anni il browser più colpito da problemi di sicurezza vari, con pericolosità degli eventuali attacchi moltiplicata dall’enorme rispondenza di pubblico che il navigatore Microsoft ancora raccoglie. Negli ultimi giorni il problema ha subito una improvvisa impennata con alcuni bug emersi nel browser Microsoft senza ottenere immediata soluzione. Da una conferenza hacker, però, giunge un monito: se IE non è sicuro, la concorrenza non è troppo migliore ed i pericoli sono nella fattispecie altrettanto gravi.
La spiazzante analisi giunge da Mischa Spiegelmock (gruppo SixApart) e Andrew Wbeelsoi i quali alla ToorCon hacker conference hanno spiegato come l’implementazione di JavaScript in Firefox sia qualcosa di paradossalmente disordinato tanto da rendere addirittura impossibile l’eventualità di una patch in grado di risolvere il problema emerso. È infatti proprio a livello di JavaScript che è stata rilevata la vulnerabilità: nei laboratori Mozilla sarebbero in corso le indagini del caso e non si esclude la possibilità che il codice di exploit sia derivato da un vecchio attacco oggi riciclato sotto nuova forma.
Mischa Spiegelmock ha punzecchiato ulteriormente la Mozilla Foundation spiegando di avere in tasca altre 30 vulnerabilità del browser con la volpe infuocata, ma di non avere intenzione di scoprire le proprie carte. Peccato, sentenzia il responsabile Mozilla Jesse Ruderman per ZDNet, che Spiegelmock si perda i 500 dollari promessi dal gruppo per la scoperta di ogni qualsivoglia vunerabilità nel navigatore.
Le piaghe aperte nei due browser più diffusi al mondo non possono che rendere tribolata la navigazione attuale degli utenti: il consiglio è quello di attenersi alle versioni distribuite, di porre attenzione agli aggiornamenti e di mantenere alto il livello di informazione personale sui problemi di sicurezza. Per quanto concernente le vulnerabilità in Firefox non sono ancora state registrate conferme ufficiali da parte del gruppo ed i tempi ipotizzati per la risoluzione di un bug come quello descritto da Mischa Spiegelmock sarebbero particolarmente lunghi, propiziando così nel frattempo eventuali attacchi in grado di colpire tramite codice JavaScript appositamente sviluppato.
UPDATE 03/08/2006
Si scopre infine che era solo una battuta. L’exploit non esegue codice e le 30 fantomatiche vulnerabilità non esistono. La ritrattazione è stata pubblicata direttamente sul sito Mozilla.