La nuova versione 2.0.0.7 di Firefox è mirata principalmente a correggere una grave vulnerabilità in grado di manifestarsi in congiunzione con l’utilizzo del player QuickTime. La falla avrebbe come punto di partenza proprio il famoso lettore multimediale, il quale sarebbe afflitto da un bug ben noto ad Apple ma mai corretto, il quale permetterebbe l’esecuzione di codice arbitrario sul computer delle vittime da parte di utenti malintenzionati. L’aggiornamento non corregge la vulnerabilità insita in QuickTime, ma impedisce semplicemente al browser di eseguire script arbitrari da una linea di comando.
La falla è stata riportata la settimana scorsa dall’hacker Petko Petkov, il quale aveva scoperto da molti mesi due vulnerabilità critiche all’interno del player QuickTime. Il primo problema è stato corretto da Apple tramite un aggiornamento, mentre il secondo sembra non aver trovato ancora risposta; Petrov ha così deciso di «dimostrare come un rischio a basso profilo possa essere trasformato in un attacco ad alto rischio», illustrando un semplice procedimento in grado di eseguire comandi non autorizzati sul computer di una vittima. Attraverso un file XML salvato con una estensione leggibile da QuickTime è così possibile installare malware, backdoor o anche corrompere il sistema operativo della vittima, se questa possiede i privilegi di amministratore.
Nonostante la versione 2.0.0.7 di Firefox abbia impedito l’esecuzione di codice arbitrario tramite QuickTime, «i file QuickTime Media potrebbero essere ancora utilizzati per annoiare gli utenti con finestre popup o di dialogo, questo finchè non viene corretto il bug insito in QuickTime».
Mozilla consiglia l’utilizzo dell’add-on “NoScript” in grado di proteggere da quest’ultima minaccia; disabilitare l’esecuzione del codice Javascript non costituirebbe infatti una precauzione sufficiente.