Mozilla ha pubblicato ieri le nuove versioni di Firefox e Thunderbird, che raggiungono rispettivamente la versione 21.0 (sia per desktop che Android) e 17.0.6. Il browser ha già dalla precedente versione risolto la vulnerabilità resa nota dalla competizione PWN2OWN, cosa che invece ha richiesto qualche settimana in più a Microsoft per il bug scoperto in IE e che è stato patchato in maniera definitiva giusto due giorni fa. La versione 21.0 di Firefox oggi pubblicata risolve 681 bug e 8 security advisories; tre di queste erano, come Mozilla stessa ha ammesso, "potenzialmente sfruttabili, con la possibilità di eseguire codice remoto".
Esteticamente non è un granché, ma l'elenco delle vulneranilità è sempre utile da leggere.
In particolare queste tre falle riguardano errori di corruzione della memoria, a causa delle quali il software va a scrivere in modo non corretto su strutture di dati o codice di altri programmi. Questo comportamento non è sempre sfruttabile di per sé, ma può esserlo specialmente nei browser o nei client e-mail che passano buona parte del loro tempo a processare contenuto da fonti esterne non sempre affidabili.
Circa l'ultimo advisory della lista (MFSA 2013-41), Mozilla ha dichiarato che "presumiamo che con un adeguato impegno alcuni di questi (bug, ndr.) potrebbero essere sfruttati per eseguire codice remoto" e quindi è consigliabile eseguire l'aggiornamento manualmente (Aiuto -> informazioni su Firefox o Thunderbird) o attendere che il browser e il client e-mail si aggiornino automaticamente.