È stata scoperta una vulnerabilità classificata come critica nella versione 11.5.1.601 del plugin Adobe Shockwave e nelle versioni precedenti. Tale falla di sicurezza consente l’esecuzione di programmi sul computer in uso.

Per controllare che il plugin sia aggiornato, è sufficiente fare clic sul menu Strumenti di Firefox e scegliere la voce Componenti aggiuntivi.

Nel pannello Plugin cercare la voce Shockwave for Director: se la versione installata è 11.5.2.602 allora il plugin è aggiornato.

Se la versione è precedente, si raccomanda a tutti gli utenti di Firefox di aggiornare quanto prima il plugin visitando il sito di Adobe.

Gli utenti dei sistemi operativi Windows potrebbero ricevere il seguente messaggio all’avvio di Firefox:

Firefox ha rilevato che i seguenti componenti aggiuntivi sono segnalati come causa di problemi di stabilità o sicurezza

e vengono indicati come bloccati i due componenti aggiuntivi Microsoft .NET Framework Assistant e Windows Presentation Foundation. Tali componenti, aggiunti automaticamente a Firefox negli scorsi mesi mediante il sistema degli aggiornamenti automatici di Windows, sono risultati affetti da gravi falle di sicurezza e perciò sono stati disattivati grazie al sistema di blocco dei componenti aggiuntivi pericolosi presente in Firefox.

Affinché la loro disattivazione divenga effettiva, occorre riavviare Firefox.

I due componenti rimarranno disattivati finché Microsoft non avrà rilasciato versioni aggiornate in cui non siano presenti tali vulnerabilità.

Per le richieste di informazioni e di supporto gli utenti possono utilizzare l’apposita sezione del nostro forum.

Aggiornamento 23/10/2009: Mozilla ha rimosso dalla blocklist sia l’estensione MS .NET Framework Assistant che il plugin  Windows Presentation Foundation in quanto è stato appurato che la vulnerabilità riguarda solo i due componenti aggiuntivi senza che venga in alcun modo intaccata la sicurezza del browser.

Tutte le versioni di Adobe Reader e Adobe Flash (per tutti i browser e tutti i sistemi operativi) sono affette da una vulnerabilità critica che consente l’esecuzione di programmi sul computer in uso. È sufficiente visitare un sito web che ospiti un’animazione Flash o aprire un file PDF opportunamente scritto per essere attaccati; le principali società di sicurezza informatica danno già notizia di molti siti web malevoli in grado di sfruttare questa falla.

Al momento Adobe è al lavoro su nuove versioni dei plugin in grado di risolvere il problema. Nell’attesa che siano disponibili, suggeriamo agli utenti di disattivare i plugin Flash e Adobe Reader in Firefox utilizzando il menu Strumenti –> Componenti aggiuntivi, selezionando ciascuno dei due plugin e facendo clic sul tasto Disattiva.

Ulteriori informazioni sono disponibili a questa pagina.

Aggiornamento del 31/07/2009: la nuova versione del plugin Flash è stata rilasciata da Adobe. È possibile scaricarla alla pagina di download di Flash.

Aggiornamento del 01/08/2009: l’aggiornamento di sicurezza per Adobe Reader è stata rilasciato da Adobe. È possibile scaricarlo da qui.

ShellBlock è un aggiornamento per la sicurezza che chiude il bug 250180.

ShellBlock disabilita la possibilita di richiamare il protocollo shell direttamente dalle applicazioni Mozilla coinvolte.
Il protocollo shell permette ad alcune applicazioni esterne di attivare Esplora Risorse di Windows (explorer.exe) usando il protocollo stesso per lanciare qualsiasi tipo di file associato ad un eseguibile in locale sul proprio computer.

Questo aggiornamento è necessario solo per gli utenti Windows 2000 e XP che utilizzano Mozilla Firefox (versioni inferiori a 0.9.2), Mozilla Thunderbird (versioni inferiori a 0.7.2) o Mozilla Suite (versioni inferiori a 1.7.1).

Mozilla Suite 1.7.1, Firefox 0.9.2 e Thunderbird 0.7.2 sono stati rilasciati appunto per risolvere questo problema.

Non esiste alcuna differenza tra le nuove release delle tre applicazioni Mozilla e le precedenti milestone (Mozilla 1.7, Firefox 0.9.1 e Thunderbird 0.7.1) che abbiano appunto installato l’aggiornamento di sicurezza ShellBlock

Per ulteriori informazioni (in inglese) è possibile leggere il documento “What Mozilla Users should know about the shell: protocol security issue“.