13 settembre, 2007

Aggiornamento sulla vulnerabilità di QuickTime

di Percy Cabello

Window Snyder, responsabile della sicurezza Mozilla, ha confermato la vulnerabilità che colpisce il plugin Quicktime all'interno di Firefox e ha fatto sapere che Mozilla sta già lavorando, in collaborazione con Apple, alla creazione di una patch.

Il work-in-progress è monitorato tramite il bug 395492 e, tra le altre cose, indagini più approfondite hanno rivelato che questa vulnerabilità colpisce solamente gli utenti Windows (non proprio pochi...) e che QuickTime effettua una chiamata diretta al browser identificato come predefinito invece di utilizzare una API di Windows che impedirebbe un tentativo di attacco di questo tipo.

Mentre Mozilla sta lavorando fianco a fianco con Apple, si sta anche valutando la possibilità di limitare l'ambito del parametro a linea di comando -chrome ai soli URL interni come chrome:// e resource://, o addirittura a rimuoverlo del tutto.

Il parametro -chrome consente l'avvio di Firefox con una diversa interfaccia rispetto a quella predefinita. Ad esempio, digitando firefox -chrome chrome://browser/content/bookmarks/bookmarksManager.xul si avvia Firefox con solo la finestra di gestione dei segnalibri. Questo risulta abbastanza comodo perché è possibile lanciare, ad esempio, ChatZilla o FireFTP come applicazioni "stand alone".

Oltre alla comodità e alla praticità, tra gli altri utilizzi vi sono i test automatici condotti nel processo di controllo qualità. Dunque, una limitazione parziale potrebbe essere la cosa migliore da fare.

Non si sa ancora quando tutto questo potrebbe avvenire. Il prossimo aggiornamento di Firefox, il 2.0.0.7, è programmato per l'inizio di ottobre e potrebbe esserci dunque abbastanza tempo per includere una patch risolutiva.

Nessun commento: