Come previsto e annunciato giorni fa, Mozilla ha rilasciato Firefox 2.0.0.12, nuovo aggiornamento di stabilità e sicurezza per il suo popolare browser open-source.

ome di consueto l’update sta venendo distribuito in queste ore tramite il sistema di software update integrato nel browser, ma può essere scaricato anche manualmente sul sito ufficiale del prodotto (getfirefox.com), in tutte le localizzazioni per Windows, Mac e Linux. Mozilla raccomanda a tutti gli utenti di installare il nuovo aggiornamento che corregge numerose problematiche di sicurezza isolate nel browser.

Contestualmente segnaliamo la disponibilità di SeaMonkey 1.1.8, nuova versione della all-in-one internet suite che include le medesime correzioni di sicurezza introdotte in Firefox 2.0.0.12 ed alcuni aggiornamenti per problematiche isoalte nelle versioni precedenti del prodotto. SeaMonkey 1.1.8 è disponibile al download sul sito ufficiale www.seamonkey-project.org.

Firefox 2.0.0.12 include correzioni per 10 vulnerabilità di sicurezza, tre delle quali sono state classificate come critiche da Mozilla. L’aggiornamento descritto nel bollettino MFSA 2008-05 corregge la vulnerabilità “chrome protocol directory traversal” segnalata due settimane fa. La falla, che affligge il suo popolare browser open-source nella gestione degli indirizzi “chrome:” in presenza di estensioni “flat”, poteva consentire ad un sito malintenzionato di accedere ai file locali conservati in posizioni conosciute e permetteva ad attacker di collezionare informazioni di sessione, tra cui cookie di sessione e cronologia di sessione.

Si tratta nello specifico di una vulnerabilità nello schema di protocollo “chrome” che permette un exploit “directory traversal” in presenza di un add-on (estensione) “flat”, portando ad una potenziale disclosure di informazioni. La vulnerabilità interessa quindi quelle estensioni che si installano come set di file non compressi, senza sfruttare il formato file .jar.

Vulnerabilità corrette in Firefox 2.0.0.12
MFSA 2008-11 Web forgery overwrite with div overlay
MFSA 2008-10 URL token stealing via stylesheet redirect
MFSA 2008-09 Mishandling of locally-saved plain text files
MFSA 2008-08 File action dialog tampering
MFSA 2008-06 Web browsing history and forward navigation stealing
MFSA 2008-05 Directory traversal via chrome: URI
MFSA 2008-04 Stored password corruption
MFSA 2008-03 Privilege escalation, XSS, Remote Code Execution
MFSA 2008-02 Multiple file input focus stealing vulnerabilities
MFSA 2008-01 Crashes with evidence of memory corruption (rv:1.8.1.12)

Fonte: tweakness.net

Pubblicato in Browser, Firefox, Mozilla, aggiornamento, bug, fix