Firefox: aggiornamento per risolvere una vulnerabilità 0-day
Firefox: aggiornamento per risolvere una vulnerabilità 0-day
Gli sviluppatori della Fondazione Mozilla hanno rilasciato Firefox 72 soltanto pochi giorni fa, ma subito dopo la distribuzione della nuova versione del browser Web è stata individuata una vulnerabilitò 0-day di livello critico che ha costretto il team a riunirsi nuovamente (e in emergenza) per la realizzazione di un aggiornamento correttivo.
I dettagli della problematica sono contenuti nel bollettino CVE-2019-17026 e descrivono una situazione in cui utenti malintenzionati avrebbero potuto approfittare della sua esistenza per prendere il completo controllo di un terminale remoto. Secondo alcune segnalazioni la falla sarebbe stata già sfruttata per portare avanti alcuni tentativi di attacco.
Stando così le cose si consiglia di procedere quanto prima ad un upgrade alla release più recente (Firefox 72.0.1) che è stata completata appena 24 ore dopo il rilascio della versione 72. Curiosamente quest'ultima conteneva la correzione di ben 11 bug di sicurezza, 6 dei quali ritenuti particolarmente gravi e 3 in grado di esporre un computer all'esecuzione di codice malevolo.
A scoprire la vulnerabilità sono stati gli esperti della cinese Qihoo 360 che hanno provveduto a segnalarla immediatamente alla Foundation. A livello tecnico sarebbe stata riscontrata una problematica di tipo Type Confusion (nota ai developer di linguaggi come C e C++), cioè la possibilità di accedere a delle risorse utilizzando dei tipi incompatibili.
Sostanzialmente le vulnerabilità classificabile come Type Confusion danno la possibilità di accedere a spazi di memoria che almeno teoricamente dovrebbero rimanere isolati, tali spazi diventano disponibili sia in modalità lettura che in scrittura dando la possibilità di lanciare istruzioni anche dannose senza che l'utente vittima dell'attacco si accorga di quanto stia accadendo.
