Mozilla Firefox sarà presto aggiornato ad una nuova versione. L’update è reso improvvisamente necessario in seguito alla pubblicazione di un codice di exploit che mette il browser a rischio di attacco zero-day, senza cioé che vi sia alcuna patch risolutiva a disposizione per mettere al riparo l’utenza da qualsivoglia tipo di pericolo correlato.
Il codice è stato portato online dal ricercatore Guido Landi: la presenza di un vettore di attacco ha reso immediatamente urgente la situazione, ancor più se si considera il fatto che l’exploit va a colpire una vulnerabilità di grave rilevanza tramite la quale poter installare software sul sistema colpito. Vulnerabile anche l’ultima versione 3.0.7 da breve rilasciata. La conferma relativa alla gravità del momento giungerebbe direttamente da Lucas Adamski, Director of Security Engineering di casa Mozilla.
La descrizione del problema ha già trovato codifica su Bugzilla con codice 485217. Viene confermato, soprattutto, il fatto che il browser bacato può diventare veicolo d’attacco anche su piattaforme Mac OS e Linux, estendendo così il bacino delle vittime potenziali all’intero range dei navigatori utilizzanti il browser Mozilla. Secondo quanto diramato tramite le note di release, la prossima versione del browser sarà la 3.0.8 (trattasi del terzo update di Firefox nel corso del 2009) ed è ad oggi messa in programmazione approssimativamente nel lasso di tempo tra il 30 marzo ed il 1 aprile. Verrà portato online come aggiornamento ad «alta priorità».
Non è un momento particolarmente brillante per Firefox. La release 3.1 è stata più volte posticipata, tanto che ormai è dato per scontato un salto a pié pari verso la 3.5. L’upgrade sarà più corposo, ma nel contempo ne viene ulteriormente posticipato l’approdo online per rifinire al meglio il codice in risposta alle pressioni provenienti dalla concorrenza. I browser escono inoltre particolarmente ridimensionati dal recente contest che ha evidenziato quanto relativa possa essere la sicurezza di un software e quanto importante sia, al contrario, la capacità di risoluzione rapida dei problemi che inevitabilmente emergono nel tempo.
Nelle stesse ore in cui Firefox verrà aggiornato alla 3.0.8, Conficker lancerà il proprio attacco del 1 aprile. In questo caso trattasi di un pericolo del tutto evitabile, poiché la patch risolutiva è disponibile ormai da tempo. Ai bug del software, però, occorre unire anche i “bug” nella capacità di protezione che l’utente stesso possiede, il tutto in un mix deleterio che rende onore alla quotidiana battaglia contro malware di ogni tipo.