Sicurezza

Firefox 24 risolve molte vulnerabilità gravi

Mozilla ha rilasciato le nuove versioni di Firefox e Thunderbird, aggiungendo molte nuove funzionalità e correggendo vulnerabilità considerate gravi. La release 24 diventa quindi quella definitiva chiamata "Extended Support Release" e sarà mantenuta tale con aggiornamenti di sicurezza per circa un anno. Dieci vulnerabilità critiche, quattro delle quali con valutazione "High" e 6 valutate come "Moderato", sono state risolte; di queste, nove sono errori di gestione di memoria e uno di "integer overflow" e potrebbero causare l'esecuzione di codice dannoso.

La versione 24 sarà quella di riferimento per il prossimo anno. Speriamo che sia un po' meno forabile di quella passata.

Per fortuna, la maggior parte dei buchi colpiva Thunderbird, ma per poter essere sfruttate dagli hacker si sarebbe dovuto procedere all’attivazione di funzioni (tipo quella per la creazione ed esecuzione degli script) che di default sono disattivate.

Come dicevamo, la Versione 24 aggiunge anche diverse nuove funzionalità. Una è il supporto per un nuovo stile di barra di scorrimento in Mac OS X 10.7 e successive. Inoltre, adesso si possono trascinare finestre di chat fuori dalla finestra principale, in modo da usarle separatamente.

La versione 24 rimuove anche il supporto per le liste di revoca dei certificati (CRL), il metodo "tradizionale" per le autorità di certificazione per notificare la revoca di un certificato digitale, in genere per SSL/TLS. I CRL, che sono elenchi statici di ID certificati, sono ormai complicati da gestire, nonché molto pesanti.

Per questo gli viene spesso preferito l’OCSP (Online Certificate Status Protocol), un'interfaccia di programmazione con la quale un client può interrogare il CA circa un certificato specifico. Un nuovo metodo chiamato OCSP Stapling velocizzerà il processo. La giustificazione di Mozilla sulla motivazione che ha portato la scelta di non supportare più i CRL è che ormai questi sono diventati pesanti da gestire e senza dubbio obsoleti. Google Chrome già non li supporta più, così come Firefox Mobile.