Secondo quanto si legge in un bollettino diramato dal produttore, "… la vulnerabilità è determinata da un conflitto durante l'esecuzione del codice remoto in fase di navigazione. Gli sviluppatori del gruppo di progetto hanno già messo a punto una modifica del codice e stanno verificando che esso sia capace, in ogni occasione, di garantire l'assoluta sicurezza".
L'affermazione suona strana, considerando che, in genere, la messa a punto di un patch per un bug definito "serio" non richiede più di un paio di giorni; evidentemente le difficoltà incontrate nel risolvere il problema sono più grandi di quelle che ci si poteva immaginare, e richiederanno una estesa manipolazione del codice sorgente, cosa che impone una accurata verifica prima del rilascio per evitare, come ha riferito un osservatore, "... che la cura sia peggiore della malattia".
Il bug interessa la versione 3.6 di Mozilla, rilasciata nel gennaio scorso che verrà, dopo la distribuzione della modifica, rinominata in 3.6.2.
Il problema è stato scoperto più di un mese fa da un ricercatore russo, Evgeny Legerov, che ne ha dato immediatamente notizia sul suo blog.
In quel caso il ricercatore aveva rifiutato di pubblicare il frammento di codice attraverso cui era possibile effettuare l'attacco e, inizialmente, rifiutò anche di offrire dettagli agli sviluppatori.
Il 4 marzo scorso, a giustificazione del suo comportamento, Legerov affermò, in una lettera aperta sul suo blog, che, nonostante i numerosi messaggi inviati al gruppo di Mozilla riguardo al problema, non aveva mai ricevuto risposta fino a quel giorno, momento in cui le richieste, da parte del gruppo, si erano fatte "inesistenti".
Questo comportamento non era piaciuto alla ricercatore che aveva bruscamente risposto alle richieste dicendo di "... non avere tempo da perdere appresso a loro".
Solo sabato Mozilla ha comunicato che Legerov ha fornito sufficienti dettagli per riprodurre e analizzare il problema. Domenica è stata rilasciata la versione beta della 3.6.2 che può essere scaricata direttamente dal sito.
Il comportamento di Mozilla, in quest'occasione, è apparso particolarmente strano, considerando la struttura open source del browser e la sempre cordiale disponibilità da parte dei progettisti ad accogliere suggerimenti e segnalazioni da parte della comunità internazionale.
I maligni hanno ipotizzato che il tutto sia legato alla scarsa volontà di pagare il premio di 10.000 dollari offerto dall'azienda per chi fosse stato capace di scoprire exploit del browser.
Evidentemente, se questa ipotesi fosse vera, la pericolosità della falla deve essere stata così grande da indurre l'azienda ad accelerare i contatti con Legerov per mettere a punto una strategia opportuna di difesa.
Fonte : http://www.techup.it/news/mozilla_bug_molto_critico_di_firefox-03509
Nessun commento:
Posta un commento