Un bug per Netscape che sa di deja-vu
![[img]](/mediamytech/028001000952.jpg)
Proteggete il computer» Virus alert
Meglio proteggersi Il bollettino di Sun rimanda a bug noti delle liberie libpng, che si occupano della visualizzazione di alcuni tipi di immagine nel browser: una loro errata gestione della memoria può portare all’esecuzione arbitraria di codice remoto. Secunia definisce la vulnerabiltà “estremamente critica”. Al momento in cui scriviamo, nessun commento ufficiale è trapelato da America Online; quindi, non resta che agire per induzione. A giudicare dai bollettini del Cert e del Cve-Mitre richiamati da Sun nel proprio bollettino, le vulnerabilità riguardano le versioni 1.2.5 e precedenti di libpng: si tratta di vulnerabilità note da agosto e superate con un aggiornamento di versione (le libpng 1.2.6 non sono vulnerabili).
Per i cugini “liberi e aperti” di Netscape, il problema è stato risolto con un aggiornamento di versione: Mozilla 1.7.2 e successivi, Thunderbird 0.7.3 e successivi e Firefox 0.9.3 e successivi non sono affetti dal bug di libpng: i binari distribuiti per le varie piattaforme sono stati compilati con versioni “sane” delle librerie grafiche.
Per Netscape, quindi, si tratta di un bug di sicurezza che - con tutta probabilità - non riguarda solo piattaforme Solaris. Ma, soprattutto, di un problema legato al metodo di sviluppo del software chiuso: per correggere il bug basterebbe che chi ha il codice sorgente di Netscape (Aol, in primis) lo ricompili linkandolo a una versione non vulnerabile delle libpng e ne distribuisca i binari ottenuti. Sapendo che compilare Mozilla in ambiente Linux su un moderno Pc di casa richiede alcune ore, non si tratta tutto sommato di un grande sforzo.
Ancora nessun commento.