In attesa del rilascio di Firefox 3.1 Beta 2, rimandato di qualche giorno, il team di sviluppo del panda rosso ha dato alla luce due aggiornamenti di sicurezza: Firefox 3.0.4 e 2.0.0.18.
Entrambe le versioni del browser correggono bachi piuttosto seri, riscontrati in entrambi i rami di sviluppo. Ben 4 vulnerabilità critiche sono state rilevate in Firefox 3, condivise in parte da Firefox 2 che segna ben 6 bachi critici.
I bug riscontrati vanno dal cross site scripting (XSS) all´esecuzione di codice arbitrario da remoto. Particolarmente pesante è un buffer overflow riscontrato nell´http-index-format parser.
Sfruttando questa vulnerabilità un attaccante potrebbe forgiare un header HTTP in grado di provocare un crash sfruttabile per l´esecuzione di codice arbitrario. Maggiori dettagli sono descritti in BugZilla.
Per tutti i cambiamenti apportati rimando ai rispettivi changelog per Firefox 3.0.4 e 2.0.0.18. Le nuove versioni sono già disponibili attraverso gli aggiornamenti automatici del browser.