La scorsa settimana sono stati rilasciati due nuovi importanti aggiornamenti: quello della versione 77 di Mozilla Firefox e quello di Zoom, che introduce la crittografia end-to-end (ma solo per gli utenti a pagamento)
La scorsa settimana sono stati rilasciati due nuovi importanti aggiornamenti che riguardano il broswer Mozilla Firefox e Zoom, l’app per le videocall, diventata popolare durante la quarantena dovuta al Coronavirius.
Per quanto riguarda Firefox, è stata rilasciata la versione 77 che va a risolvere alcune vulnerabilità classificate “ad alto rischio” che permettevano l’esecuzione di codice da remoto sulle macchine al semplice caricamento di una pagina Web contenente un eventuale exploit.
Le falle di sicurezza risolte sono tre e, in particolare, riguardano la gestione dei JavaScript (CVE-2020-12406) e vari bug che possono portare all’alterazione di memoria, identificati come CVE-2020-12410 e CVE-2020-12411.
L’aggiornamento di Firefox è automatico: la nuova versione verrà scaricata in installata al primo riavvio.
Per quanto riguarda Zoom invece le cose sono un po’ diverse.
Innanzitutto il download dell’aggiornamento non è automatico e va quindi eseguito l’installer.
Questa nuova versione servirà a risolvere importanti bug, come quello che consentiva di avviare l’esecuzione di un codice remoto verso tutte le macchine dei partecipanti a una call (quindi facendo potenzialmente una “strage”, visto che possono connettersi contemporaneamente a una videoconference fino a 500 account), attraverso l’invio in chat di un messaggio di testo specifico (CVE-2020-611) o una GIF animata (CVE-2020-6109).
L’altra importante novità in arrivo con questa versione di Zoom è l’introduzione della crittografia end-to-end nelle chiamate.
La crittografia end-to-end è un sistema di comunicazione cifrato, che fa in modo che le chiavi per accedere ai messaggi che ci si sta scambiando siano visibili soltanto tra chi sta comunicando e non vengano quindi coinvolte terze parti (come gli Internet Service Provider).
L’assenza di tale crittografia era stata scoperta ad inizio aprile ed era ampliamente stata criticata dagli esperti di privacy e sicurezza informatica.
La nota amara della questione è che la crittografia end-to-end verrà rilasciata soltanto agli utenti che hanno un abbonamento a pagamento, chiunque abbia un account gratuito continuerà ad essere scoperto.
Le critiche verso questa scelta sono ovviamente già state mosse e sono molto severe, vedremo se il CEO Eric Yuan rivedrà la sua posizione alzando così il livello di sicurezza globale della sua applicazione.