Mozilla risolve per prima le vulnerabilità individuate

Mozilla risolve per prima le vulnerabilità individuate nella gara Pwn2Own
Martedì 31 Marzo 2009
FireFox sarà il primo browser ad aggiornarsi per eliminare le falle scoperte nel corso
della recente gara tra hacker per scoprire vulnerabilità
Fonte: Macitynet.it
di Mauro Notariann
Se Apple e Microsoft non provvederanno in tempo record a rilasciare qualche aggiornamento,
Mozilla Corp. sarà la società che per prima avrà reso disponibile gli aggiornamenti per risolvere
le vulnerabilità mostrate nel corso del Pwn2Own il "concorso" per hacker svoltosi la settimana
scorsa che metteva in palio 5000$ per ogni falla scoperta nei browser.
Durante la competizione, uno studente tedesco di nome Nils (il cognome non è stato
comunicato), ha "craccato" un laptop Sony sul quale era installato Windows 7 individuando una
falla non precedentemente nota di Internet Explorer 8 di Microsoft. Nils ha scoperto anche
vulnerabilità dei browser Safari e Firefox installati su un MacBook con Mac OS X.
Per ogni vulnerabilità Nils ha ricevuto 5.000$ e dunque lo studente ha guadagnato
complessivamente 15.000$, soldi offerti da TippingPoint, società che si occupa di sicurezza
(controllata da 3Com), oltre a portarsi a casa il Sony Vaio per essere stato il primo nel riuscire a
"hackerare" la macchina.
Le regole della competizione Pwn2Own, impediscono che le vulnerabilità individuate siano rese
note ma TippingPoint comunica le scoperte ai vari produttori di software coinvolti (Microsoft,
Apple, Mozilla, ecc.).
Nella giornata di ieri, Lucas Admski, security engineering di Mozilla ha comunicato che sarà
rilasciata una patch che corregge la vulnerabilità indicata nel sito Milw0wom.com e anche quella
scoperta da Nils. Le due vulnerabilità saranno risolte con l'aggiornamento alla versione 3.08 di
FireFox il quale è stato fatto sapere che sarà rilasciato entro il primo aprile.
Mozilla ha classificato l'update alla versione 3.08 di FireFox "ad alta priorità" e ha deciso di
anticipare la data di rilascio (in precedenza la data prevista era metà aprile).
E' improbabile che Microsoft e Apple riusciranno a rilasciare patch prima del team di Mozilla e
storicamente Apple ha impiegato più tempo nel rilasciare le correzioni individuate nel corso
delle competizioni passate.
Una correzione per Explorer 8 potrebbe essere in dirittura d'arrivo o addirittura già inclusa nel
software stesso. La vulnerabilità venuta fuori nel corso della competizione Pwn2Own era stata
individuata su una "release candidate" (versione preliminare) di Explorer e Microsoft ha
rilasciato il prodotto poche ore dopo la scoperta di Nills. Secondo alcuni analisti, Microsoft
avrebbe potuto fare in tempo a incorporare il fix nella versione finale del prodotto. Nessuna
fonte ufficiale ha ad ogni modo confermato la notizia e non è chiaro neanche se la vulnerabilità
di Explorer 8 sia presente anche nelle versioni precedenti del browser per PC.
1/1