Mozilla ha rilasciato Firefox 3.0.1, primo aggiornamento "hotfix" di stabilità e sicurezza per la nuova versione del suo popolare browser open-source. Contestualmente sono stati resi disponibili corrispondenti aggiornamenti di sicurezza per Firefox 2 (2.0.0.16) e SeaMonkey (1.1.11).
Gli update includono la correzione per due vulnerabilità, classificate come critiche, isolate nel codice del prodotto. Mozilla raccomanda a tutti gli utenti di installare il nuovo aggiornamento. Ricordiamo che Firefox 2.0.0.x sarà supportato con aggiornamenti di sicurezza e stabilità fino a metà Dicembre 2008. Mozilla incoraggia comunque tutti gli utenti ad eseguire l'upgrade a Firefox 3.
Come di consueto gli update stanno venendo distribuiti in queste ore tramite il sistema di software update integrato nel browser, ma possono essere scaricati in tutte le localizzazioni per Windows, Mac e Linux manualmente sul sito ufficiale www.getfirefox.com (Firefox 3.0.1), nella sezione dedicata alle release "più vecchie" (www.mozilla.com/en-US/firefox/all-older.html - Firefox 2.0.0.16), e sul sito ufficiale www.seamonkey-project.org (SeaMonkey 1.1.11).
Vulnerabilità corrette in Firefox 3.0.1 e Firefox 2.0.0.16 MFSA 2008-35 Command-line URLs launch multiple tabs when Firefox not running
MFSA 2008-34 Remote code execution by overflowing CSS reference counter
MFSA 2008-35. Il ricercatore di sicurezza Billy Rios ha segnalato che passando a Firefox un URI di linea di comando con simboli ("|"), se il browser non è ancora in esecuzione, vengono aperte schede multiple. Questa tecnica di URI splitting potrebbe essere utilizzata per lanciare URI chrome: da linea di comando, un bypass parziale del fix per MFSA 2005-53 che era stato studiato per impedire ad applicazioni esterne di caricare queste URI. Questa falla potrebbe anche essere utilizzata da un attacker per passare a Firefox URI che normalmente sarebbero gestite da una applicazione vettore, unendola ad una URI non gestita dalla applicazione vettore.
In Firefox 2 gli script che si eseguono da URI file: possono leggere dati da l'intero disco dell'utente, un rischio se l'attacker è in grado di piazzare in precedenza un file nocivo in una location prevedibile sul disco locale. Rios ha dimostrato che la cosiddetta "Safari Carpet-bombing vulnerability" potrebbe essere usata in questo modo, oltre ad altre tecniche che non si basano su questa falla (ora corretta) di Safari. In Firefox 3 gli script che si eseguono nei file locali hanno accesso limitato agli altri file, cosa che riduce quasi interamente il rischio di attacchi "file:". Tuttavia, combinata con una vulnerabilità che permette ad un attacker di iniettare script in un documento chrome, la problematica potrebbe essere utilizzata per eseguire codice arbitrario sul computer della vittima. Questo tipo di falla di iniezione chrome era stata scoperta in Firefox 3 dagli sviluppatori Mozilla Ben Turner e Dan Veditz.
MFSA 2008-34. Si tratta della vulnerabilità segnalata un mese fa dai ricercatori di Zero Day Initiative di Tipping Point. La problematica affligge la struttura dati interna dell'array CSSValue. Creando un grande numero di referenze per un oggetto CSS comune, la variabile counter di questi oggetti può andare in sovraccarico e causare un crash del browser. Anche questa falla permette l'esecuzione di codice arbitrario sul computer della vittima
