Hai aggiornato il tuo browser Firefox? Mozilla ha appena rilasciato aggiornamenti di sicurezza relativi a otto vulnerabilità, cinque dei quali classificati come ad alto rischio. Per essere protetto dagli attacchi, gli utenti dovrebbero eseguire Firefox 77.
Se non riavvii il browser Firefox da un po 'di tempo, dovresti.
8 Vulnerabilità di Firefox rilevate
Tre dei cinque difetti ad alto rischio potrebbero consentire l'esecuzione di codice arbitrario. Nel contesto di un browser Web, ciò significa che il caricamento di una pagina dannosa potrebbe facilmente portare a infezioni da malware sul sistema. Per fortuna, questi bug sono stati scoperti dagli stessi sviluppatori di Mozilla.
Gli sviluppatori di Mozilla Tom Tung e Karl Tomlinson hanno scoperto i bug CVE-2020-12410 ad alto rischio, descritti come bug di sicurezza della memoria corretti in Firefox 77 e Firefox ESR 68.9. "Alcuni di questi bug hanno mostrato prove di corruzione della memoria e presumiamo che con uno sforzo sufficiente alcuni di questi potrebbero essere stati sfruttati per eseguire codice arbitrario,"Mozilla dice.
Avanti sulla lista dei bug più pericolosi risolti in Firefox 77 è CVE-2020-12406, o una confusione di tipo JavaScript con NativeTypes. Segnalato da Iain Ireland, uno sviluppatore di Mozilla, il bug potrebbe portare all'esecuzione di codice arbitrario. Il bug è causato da un controllo del tipo mancante durante la rimozione di oggetti non in scatola, con conseguente incidente.
La terza vulnerabilità scoperta internamente è CVE-2020-12411. I bug di sicurezza della memoria sono stati scoperti dagli sviluppatori Mozilla da Gijs (lui / lui), Randell Jesup che ha segnalato bug di sicurezza della memoria presenti in Firefox 76. Alcuni di questi bug hanno mostrato prove di corruzione della memoria e i ricercatori di Mozilla presumono che "con sufficiente sforzo alcuni di questi potrebbero essere stati sfruttati per eseguire codice arbitrario".
CVE-2020-12399 è un altro esempio delle cinque vulnerabilità ad alta gravità. Viene descritto come un attacco di temporizzazione alle firme DSA nella libreria NSS. Il bug è stato segnalato da Cesar Pereida Garcia e dal Network and Information Security Group (NISEC) all'università di Tampere. L'impatto delle vulnerabilità è considerato elevato. Secondo il parere ufficiale di Mozilla, NSS ha mostrato differenze di temporizzazione durante l'esecuzione delle firme DSA, che era sfruttabile e potrebbe eventualmente perdere le chiavi private.
Un altro problema di elevata gravità è CVE-2020-12405, o una vulnerabilità use-after-free nella condivisione SharedWorkerService, riportato da Marcin "Icewall’ Gamba di Cisco Talos. Durante la navigazione di una pagina dannosa, una condizione di competizione nel nostro SharedWorkerService potrebbe verificarsi e portare a un arresto potenzialmente sfruttabile, l'avviso descritto.
L'errore più grave delle restanti tre vulnerabilità è CVE-2020-12407, valutato come moderato. Il difetto è legato alla perdita di memoria della GPU:
Lo sviluppatore di Mozilla Nicolas Silva ha scoperto che quando si utilizza WebRender, Firefox in determinate condizioni perderebbe memoria GPU arbitraria sullo schermo visibile. Il contenuto di memoria trapelato era visibile all'utente, ma non osservabile dai contenuti web.
Infine, CVE-2020-12408 e CVE-2020-12409 sono entrambi considerati a basso rischio e correlati allo spoofing degli URL. Sono stati segnalati dal ricercatore indipendente Rayyan Bijoora.