Mozilla ha rilasciato recentemente le versioni 1.5.0.5 dei suoi due prodotti open-source, il browser Firefox e il client di posta elettronica Thunderbird. Le due nuove release integrano miglioramenti in stabilità del codice e soprattutto le correzioni per numerose vulnerabilità di sicurezza. Mozilla ha anche reso disponibile la versione 1.0.3 di SeaMonkey, il progetto separato che ha rimpiazzato il prodotto Mozilla Suite.

La versione 1.5.0.5 doveva essere l'ultimo aggiornamento di sviluppo del ramo 1.0.x dei due prodotti, con la conseguente focalizzazione degli sviluppatori sulla prossima versione principale 2.0. Secondo l'ultima roadmap di Mozilla (Mozilla Developer Calendar), Firefox 2.0, disponibile da circa 2 settimane in versione Beta 1, è previsto in Beta 2 il 6 Agosto prossimo e in versione finale il 26 Settembre.

Ad ogni modo i developer di Mozilla stanno ultimando in questi giorni un update "respin" della versione 1.5.0.5 di Firefox che corregge una "regressione nella gestione del protocollo esterno" isolata nel codice. Tim Riley, Co-Lead/QA di Mozilla Corporation, annuncia così la nuova release sul newsgroup dedicato allo sviluppo del progetto Firefox: "Abbiamo isolato un bug serio nella versione 1.5.0.5. Vedete il bug 346167. Stiamo considerando un update urgente 1.5.0.6 per inizio settimana". Firefox 1.5.0.6 RC1 è già disponibile per il testing come "nightly build".

Tornando alle versioni 1.5.0.5, Mozilla ha corretto numerosi problemi di sicurezza (13) nei suoi due software, nello specifico sono 12 le vulnerabilità corrette nel browser Firefox, 7 classificate dalla stessa azienda "critiche", 2 "ad alta priorità", e 3 "moderate". Thunderbird 1.5.0.5 include le patch per 11 problemi di sicurezza, 10 (*TB) relativi ai medesimi bug del codice isolati in Firefox e uno specifico e "critico". Ricordiamo che Mozilla considera un vulnerabilità "critica" quando questa può essere sfruttata per eseguire codice o installare software senza richiedere interazione da parte dell'utente attaccato. Tra le varie falle critiche corrette nelle nuove release troviamo una vulnerabilità di corruzione memoria, 4 problemi con JavaScript, un altro problema di corruzione della memoria causato da eventi XPCOM simultanei e un falla di esecuzione codice sfruttabile tramite referenza ad un frame rimosso. Anche Secunia, nota azienda di security monitoring, ha rilasciato due advisory dedicati alle vulnerabilità scoperte (e ora corrette) in Firefox e Thunderbird. Secunia ha calcolato per entrambi i casi un livello di rischio aggregato "altamente critico".

MFSA 2006-56 chrome: scheme loading remote content
MFSA 2006-55 Crashes with evidence of memory corruption (rv:1.8.0.5) (*TB)
MFSA 2006-54 XSS with XPCNativeWrapper(window).Function(...) (*TB)
MFSA 2006-53 UniversalBrowserRead privilege escalation (*TB)
MFSA 2006-52 PAC privilege escalation using Function.prototype.call (*TB)
MFSA 2006-51 Privilege escalation using named-functions and redefined "new Object()" (*TB)
MFSA 2006-50 JavaScript engine vulnerabilities (*TB)
MFSA 2006-49 Heap buffer overwrite on malformed VCard (TB)
MFSA 2006-48 JavaScript new Function race condition (*TB)
MFSA 2006-47 Native DOM methods can be hijacked across domains (*TB)
MFSA 2006-46 Memory corruption with simultaneous events (*TB)
MFSA 2006-45 Javascript navigator Object Vulnerability
MFSA 2006-44 Code execution through deleted frame reference (*TB)

Mozilla ha anche rilasciato una prima versione alpha di Thunderbird 2.0, la prossima major version del suo client di posta. Secondo la lista delle novità introdotte, Thunderbird 2.0 Alpha 1 include tabbed messaging, cartelle di preferiti, una funzione di conversazione simile a quella di Gmail, e miglioramenti nella gestione della junk mail.

 Firefox 1.5.0.4: 12 Fix di Sicurezza  -  Mozilla Firefox/Thunderbird 1.5.0.4