Se Apple e Microsoft non provvederanno in tempo record a rilasciare qualche aggiornamento, Mozilla Corp. sarà la società che per prima avrà reso disponibile gli aggiornamenti per risolvere le vulnerabilità mostrate nel corso del Pwn2Own il “concorso” per hacker svoltosi la settimana scorsa che metteva in palio 5000$ per ogni falla scoperta nei browser.
Durante la competizione, uno studente tedesco di nome Nils (il cognome non è stato comunicato), ha “craccato” un laptop Sony sul quale era installato Windows 7 individuando una falla non precedentemente nota di Internet Explorer 8 di Microsoft. Nils ha scoperto anche vulnerabilità dei browser Safari e Firefox installati su un MacBook con Mac OS X.
Per ogni vulnerabilità Nils ha ricevuto 5.000$ e dunque lo studente ha guadagnato complessivamente 15.000$, soldi offerti da TippingPoint, società che si occupa di sicurezza (controllata da 3Com), oltre a portarsi a casa il Sony Vaio per essere stato il primo nel riuscire a “hackerare” la macchina.
Le regole della competizione Pwn2Own, impediscono che le vulnerabilità individuate siano rese note ma TippingPoint comunica le scoperte ai vari produttori di software coinvolti (Microsoft, Apple, Mozilla, ecc.).
Nella giornata di ieri, Lucas Admski, security engineering di Mozilla ha comunicato che sarà rilasciata una patch che corregge la vulnerabilità indicata nel sito Milw0wom.com e anche quella scoperta da Nils. Le due vulnerabilità saranno risolte con l’aggiornamento alla versione 3.08 di FireFox il quale è stato fatto sapere che sarà rilasciato entro il primo aprile.
Mozilla ha classificato l’update alla versione 3.08 di FireFox “ad alta priorità ” e ha deciso di anticipare la data di rilascio (in precedenza la data prevista era metà aprile).
E’ improbabile che Microsoft e Apple riusciranno a rilasciare patch prima del team di Mozilla e storicamente Apple ha impiegato più tempo nel rilasciare le correzioni individuate nel corso delle competizioni passate.
Una correzione per Explorer 8 potrebbe essere in dirittura d’arrivo o addirittura già inclusa nel software stesso. La vulnerabilità venuta fuori nel corso della competizione Pwn2Own era stata individuata su una “release candidate” (versione preliminare) di Explorer e Microsoft ha rilasciato il prodotto poche ore dopo la scoperta di Nills. Secondo alcuni analisti, Microsoft avrebbe potuto fare in tempo a incorporare il fix nella versione finale del prodotto. Nessuna fonte ufficiale ha ad ogni modo confermato la notizia e non è chiaro neanche se la vulnerabilità di Explorer 8 sia presente anche nelle versioni precedenti del browser per PC.
[A cura di Mauro Notarianni]
