Em artigo dia 30 eu comentei sobre uma vulnerabilidade divulgada que afetava o Firefox, mesmo na recente atualização 2.0.0.5.

No dia 30 mesmo a Fundação Mozilla lançou nova atualização de segurança Firefox 2.0.0.6 e, dois dias depois, Thunderbird 2.0.0.6, ambas endereçando duas vulnerabilidades:

  • MFSA 2007-27: Unescaped URIs passed to external programs; crítica.
  • MFSA 2007-26: Privilege escalation through chrome-loaded about:blank windows; de impacto moderado.

À medida que são discutidos mais detalhes sobre a falha reportada pelos pesquisadores de segurança Billy Rios e Nathan McFeters (MFSA 2007-27), percebe-se que a origem do problema envolve o tratador de URLs do Windows XP e 2003 com Internet Explorer 7. Ao repassar protocolos para o navegador Firefox (como http) ou o leitor de e-mail Thunderbird (como mailto), o tratador de URL, em determinada situação, leva indevidamente à execução de programas locais.

Independente da “responsabilidade” pelo problema ser dos programas Mozilla, como insiste em alegar o pesquisador de segurança especializado em Windows Jesper Johansson, ou da Microsoft, o fato é que a Fundação Mozilla agiu super rápido — como de costume — e já lançou uma versão impedindo a exploração maliciosa da falha nos programas Firefox e Thunderbird.

Para ficar mais seguro, atualize o navegador Firefox e o leitor de correio Thunderbird o quanto antes para a versão 2.0.0.6. Para ficar mais seguro ainda, utilize o Linux ao invés do Windows… ;-)

Para saber mais: