Mozilla ha rilasciato Firefox 16.0.1 la settimana scorsa, al fine di risolvere alcune vulnerabilità scoperte successivamente al rilascio della versione 16, ed altre tre vulnerabilità non rese note, ma ritrovate sempre nella stessa versione stabile precedente.
Mozilla ha interrotto la distribuzione di Firefox 16 appena un giorno dopo averlo messo a disposizione attraverso il proprio portale, proprio in seguito alla scoperta delle vulnerabilità che avrebbero potenzialmente consentito a pagine web malevoli di leggere gli URL di altri siti ai quali gli utenti hanno già avuto accesso: questo comportamento è di norma impedito dai meccanismi di sicurezza del browser.
Questa problematica è stata resa pubblica dal ricercatore Gareth Heyes, il giorno successivo al rilascio di Firefox: Heyes ha pubblicato un codice prova che, quando mandato in esecuzione attraverso una pagina Web, poteva ritrovare lo username utilizzato per accedere a Twitter. Mozilla ha determinato che la problematica indicata da Heyes affligge solo la versione Firefox 16, e risolve la falla con Firefox 16.0.1.
Firefox 16 di per se, risolveva già diverse vulnerabilità trovate dai team di sicurezza di Mozilla in Firefox 15 e che avrebbe potuto risultare nello stesso comportamento: evidentemente il team di sviluppo per la sicurezza non è riuscito a risolvere interamente il problema con Firefox 15 ed è stato necessario il rilascio dell’attuale Firefox 16.0.1 .
Firefox 16, in aggiunta, risolve due bug legati alla corruzione della memoria legata al motore del browser che causa crash, e che può essere sfruttata per l’esecuzione di codice non autorizzato.
