Mozilla: scoperto un buco nella sicurezza del browser open source

di |
logomacitynet696wide

Gli sviluppatori della Mozilla Foundation confermano che l’ultima versione del browser presenta un problema di sicurezza. Attaccanti potrebbero far eseguire del codice ma solo sui Pc dotati di Windows Xp. Già  rilasciata la patch

La differenza tra il mondo Open Source e quello Closed Source (Microsoft) è fondamentalmente questa: quando si scopre una debolezza di un software o del sistema operativo, nel primo caso le menti migliori del mondo della programmazione realizzano una patch. Nel secondo, fanno un exploit.

E’ il caso di Mozilla, per il quale è stato scoperto un problema di sicurezza in grado di far eseguire codice arbitrario in ambiente Windows Xp. Un problema non da poco, soprattutto in termine di immagine, dato che in questo periodo come mai prima Mozilla e Firefox vengono indicati come sostituti “sicuri” di Internet Explorer, piagato da insicurezze strutturali e prossimo all’ostracismo anche da parte dei grandi mezzi di comunicazione statunitense. (Dalle nostre parti i giornali tendono a ignorare il problema, con buona pace di Microsoft che non viene così positivamente stimolata a migliorare i suoi prodotti per la clientela).

Però, trovato il problema, subito è stata individuata la soluzione. Infatti, dopo poche ore dal “warning” apparso su alcune mailing list devote ai problemi di sicurezza, è stata subito individuata una soluzione a quello che è stato battezzato “shell problem”.

Da notare che i problemi che vengono individuati per la sicurezza, sia in ambito Windows che Linux e Mac, sono in realtà  delle falle scoperte in laboratorio da esperti e non necessariamente a conoscenza dei malintenzionati della rete. La loro pubblicazione in ambienti aperti a un pubblico tecnicamente non omogeneo è sempre rischiosa, dato che permette sia di realizzare patch e soluzioni sia di mettere sulla “buona strada” i bad guys che vogliano realizzare un exploit.

Si tratta quindi di un problema sociale e non tecnologico, anche perché il caso di debolezze tenute nascoste per lungo tempo (Microsoft ne ha conservate alcune per anni, senza avvertire nessuno) non è d’altro canto una garanzia che sia possibile per terzi individuarle autonomamente e colpire con durezza i sistemi compromissibili.