Come previsto, dopo il rilascio di Firefox 2.0.0.5 avvenuto due giorni fa, Mozilla ha reso disponibile un corrispondente aggiornamento per il suo client e-mail open-source, Thunderbird 2.0.0.5. La nuova versione del software è disponibile per Windows, Mac OS X, Linux, nelle varie localizzazioni, sul sito ufficiale del prodotto, accessibile via http://getthunderbird.com. Thunderbird 2.0.0.5 include la correzione per due vulnerabilità critiche, che facevano parte dei bug-fix già introdotti nel codice di Firefox 2.0.0.5. Le due vulnerabilità non interessano il code-base Thunderbird 1.5.0.x. Mozilla raccomanda a tutti gli utenti di eseguire l'aggiornamento alla nuova versione; gli utenti di Thunderbird 2.0.0.x riceveranno in queste ore una notifica automatica della disponibilità di Thunderbird 2.0.0.5. Ricordiamo comunque che in alternativa è possibile aggiornare manualmente sfruttando la funzione di autoupdate (Controllo aggiornamenti... nel menu di aiuto ?).

 Firefox 2.0.0.5: 8 Fix di Sicurezza  -  Mozilla Thunderbird 2.0.0.4  -  Altre 

Thunderbird 2.0.0.5: Download - Note di Rilascio - Changelog/Bugfix

L'update di stabilità e sicurezza 2.0.0.5 è il secondo aggiornamento per la nuova release di Thunderbird lanciata ad Aprile, che aveva introdotto tra le varie novità il tagging per i messaggi, le visualizzazioni per le cartelle, navigazione nella cronologia di sessione, un visual refresh del tema grafico, migliorati avvisi di notifica di ricezione della posta e supporto per il nuovo Windows Vista; in tutto circa 963 bugfix/miglioramenti rispetto al branch 1.5.

Thunderbird 2.0.0.5 include la correzione per due vulnerabilità di sicurezza isolate nel codice del client di posta, entrambe classificate come "critiche": la vulnerabilità di esecuzione di codice tramite il lancio di Firefox/Thunderbird via IE (CVE-2007-3670); ed una serie di crash che causano corruzione della memoria. Le vulnerabilità corrette: MFSA 2007-23 Remote code execution by launching Firefox from Internet Explorer; MFSA 2007-18 Crashes with evidence of memory corruption. L'aggiornamento corregge anche altri bug minori nel codice, non direttamente legati alla sicurezza. The Rumbling Edge ha pubblicato un changelog completo delle modifiche apportate al codice del client rispetto alla release 2.0.0.4.

Per quanto riguarda la vulnerabilità "firefoxurl://" che permetteva ad un attacker di utilizzare Microsoft Internet Explorer per lanciare Firefox ed eseguire contestualmente codice arbitrario potenzialmente nocivo, segnaliamo che la "discussione" sulle responsabilità originarie del problema prosegue in rete. In particolare segnaliamo un recente post sul blog ufficiale del team di sviluppatori di Internet Explorer che sembrano declinare ogni responsabilità affermando che spetta "all'applicazione ricevente (richiamata) assicurarsi di poter processare in sicurezza i parametri in arrivo". Di contro Asa Dotzler, figura di spicco di Mozilla Foundation, critica nel suo blog questo atteggiamento di "scarica barile" del team di Microsoft: "È in sostanza troppo difficile correggere questo problema al 100% quindi non ci proviamo neanche. È questo l'atteggiamento che desiderate in coloro che realizzano i vostri software?", commenta canzonatorio Dotzler.

Tornando a Thunderbird, ricordiamo che la vecchia generazione del client Thunderbird (1.5.x) sarà supportata con aggiornamenti di stabilità e sicurezza fino ad Ottobre 2007. Agli utenti di Thunderbird 1.5.0.x non verrà per ora offerto di scaricare Thunderbird 2 via software update. Coloro che vogliono eseguire l'upgrade dovranno quindi scaricarlo ed installarlo manualmente. Segnaliamo infine la recente disponibilità delle ultime FireFAQ e ThunderFAQ per le versioni 2.0 dei due popolari prodotti open-source. Si tratta di due veri e propri libri, realizzati da tre componenti dello staff di Mozilla Italia, disponibili in PDF (rispettivamente 113 e 127 pagine) che offrono una raccolta di risoluzioni a problemi noti, suggerimenti, collegamenti a siti web e tante altre risorse utili per chi comincia ad avvicinarsi a Firefox 2.0 e Thunderbird 2.0 o per chi, anche utente affezionato, riscontra problemi mai visti in passato.