Problema di sicurezza per Firefox 3?

[Fenice]

In un blog ho letto un comunicato divulgato poco dopo il lancio di Firefox 3: sembrerebbe che questo, come anche Firefox 2, abbia un problema di sicurezza scoperto 5 ore dopo il rilascio ufficiale. Il team Mozilla è stato subito messo al corrente...
Riporto qui il testo, in inglese:

A number of people who monitor our Zero Day Initiative's Upcoming Advisories page noticed yesterday that we reported a vulnerability to Mozilla (ZDI-CAN-349). Taking into account the coincidental timing of the Firefox 3.0 release, many are asking us if this is the first reported critical vulnerability in the latest version of the popular open source browser.

What we can confirm is that about five hours after the official release of Firefox 3.0 on June 17th, our Zero Day Initiative program received a critical vulnerability affecting Firefox 3.0 as well as prior versions of Firefox 2.0.x. We verified the vulnerability in our lab, acquired it from the researcher, then promptly reported the vulnerability to the Mozilla security team shortly after. Successful exploitation of the vulnerability could allow an attacker to execute arbitrary code. Not unlike most browser based vulnerabilities that we see these days, user interaction is required such as clicking on a link in email or visiting a malicious web page.

While Mozilla is working on a fix, we wont be divulging anything else until a patch is available, adhering to our vulnerability disclosure policy. Once the issue is patched, we'll be publishing an advisory here. Working with Mozilla on past security issues, we've found them to have a good track record and expect a reasonable turnaround on this issue as well.

Che cosa ne pensate? Mossa "contropubblicitaria", pubblicitaria o c'è davvero qualche rischio?

[Fenice]

Ecco una delle tante fonti italiane che riportano la notizia: non si sa nulla di più rispetto a ciò che ho riportato nel precedente post, ma almeno la notizia è in italiano.

Sono bastati otto milioni di download per trovare il primo baco dell’era 3.0 del browser open source più famoso del mondo. È stata infatti individuata una vulnerabilità che in seguito alla visita di una pagina Web malevola appositamente modificata, può permettere l’esecuzione di codice arbitrario sul computer della vittima.
La falla pare essere stata latente per parecchio tempo, se si considera che essa è presente anche in Firefox 2. Per ora non sono disponibili ulteriori dettagli, ma a quanto risulta non ci sono in giro dei siti in grado di sfruttare la vulnerabilità del novello panda rosso. Il team di sviluppatori di Mozilla è già al lavoro per una patch, e considerando i tempi bassissimi di reazione a cui ci hanno abituato, c’è da aspettarsi un aggiornamento entro pochi giorni. Il bug comunque non sembra essere in grado di spegnere il grande successo che ha accompagnato il rilascio della nuova versione.
[Fonte:oneopensource - 20 giugno 2008]

La mia domanda se la saranno posti in molti: l'hanno fatto di proposito a divulgare ora la notizia (questo è certo), ma per fare "contropubblicità" o per pubblicizzare? L'imminente notizia della risoluzione del problema sarebbe molto vantaggiosa per Mozilla...

[Rob]

Non so se dietro ci siano manovre pubblicitarie o che altro, ma penso che non si faccia mai una bella figura quando vengono scoperte delle falle di sicurezza. D'altro canto non c'è da scandalizzarsi più di tanto, tali problemi sono sempre esistiti e sempre esisteranno, non esiste il software sicuro al 100%, le cose importanti sono appunto scoprirli e poi correggerli in fretta. A parte questo vale sempre la buona regola di tenersi alla larga, per quanto possibile, dai siti sospetti.

[Fenice]

Da ciò che risulta dal comunicato il bug, chiamiamolo così, era presente già in Firefox 2: mi resta la curiosità di sapere se era “latente” o no… Ma non lo saprò mai.
Poi è "curioso" il fatto che la notizia sia stata diffusa poche ore dopo il rilascio di Firefox 3...

Di sicuro ci saranno altre notizie a breve.