Una nuova vulnerabilità legata alla divulgazione di informazioni, CVE-2.020-12.418, è stato appena scoperto in Mozilla Firefox. Scoperto da Cisco Talos, la vulnerabilità può essere sfruttata inducendo l'utente a visitare una pagina Web appositamente predisposta tramite il browser.
In caso di riuscito exploit, l'attore di minaccia potrebbe usare la memoria trapelata per bypassare ASLR (Address Space Layout Randomization). Se il difetto è combinato con altri bug, l'attaccante potrebbe ottenere la capacità di eseguire codice arbitrario, i ricercatori avvertono.
"In conformità con la nostra politica di divulgazione coordinata, Cisco Talos ha collaborato con Mozilla per garantire la risoluzione di questi problemi e la disponibilità di un aggiornamento per i clienti interessati,"Dice il post sul blog.
Vulnerabilità legata alla divulgazione di informazioni su Mozilla Firefox: CVE-2.020-12.418
La definizione ufficiale di vulnerabilità è "Mozilla Firefox URL mPath vulnerabilità di divulgazione di informazioni (TALOS-2020-1088 / CVE-2020-12418)".
Secondo Cisco Talos:
Esiste una vulnerabilità legata alla divulgazione di informazioni nelle funzionalità URL mPath di Mozilla Firefox Firefox Nightly versione 78.0a1 x64 e versione di rilascio Firefox 76.0.2 x64. Un oggetto URL appositamente predisposto può causare una lettura fuori limite. Un utente malintenzionato può visitare una pagina Web per attivare questa vulnerabilità.
Il problema è stato testato su Mozilla Firefox Firefox Nightly versione 78.0a1 x64 e Mozilla Firefox Firefox versione di rilascio 76.0.2 x64. Entrambe le versioni del browser sono interessate.
In termini più tecnici, la vulnerabilità è correlata all'oggetto URL. "Una pagina Web dannosa che utilizza un adeguato stato dell'oggetto URL può perdere la memoria del browser e, di conseguenza, può aiutare un utente malintenzionato a bypassare ASLR ed eseguire codice arbitrario,”Spiegano i ricercatori.
Ulteriori informazioni sono a disposizione.
Lo scorso mese, Mozilla rilasciato aggiornamenti di sicurezza relativi a otto vulnerabilità, cinque dei quali classificati come ad alto rischio. Tre dei cinque difetti ad alto rischio potrebbero consentire l'esecuzione di codice arbitrario. Nel contesto di un browser Web, ciò significa che il caricamento di una pagina dannosa potrebbe facilmente portare a infezioni da malware sul sistema. Per fortuna, questi bug sono stati scoperti dagli stessi sviluppatori di Mozilla.