Ti consigliamo di verificare se stai utilizzando l'ultima versione del browser Firefox. Mozilla ha appena risolto diverse vulnerabilità, uno critico e diversi ad alta gravità. L'aggiornamento è incluso nella versione di Firefox 84, e migliora anche le prestazioni di Firefox aggiungendo il supporto nativo per l'hardware macOS in esecuzione su processori Apple.
La vulnerabilità critica è nota come CVE-2020-16042. È interessante notare che lo stesso bug critico è stato risolto di recente anche in un aggiornamento di sicurezza di Google Chrome. Tuttavia, Google lo ha valutato come alto in termini di gravità. Inoltre, né Mozilla né Google hanno fornito una descrizione tecnica del grave problema, che è evidenziato solo come un bug di memoria.
Secondo l'avviso di sicurezza di Mozilla, CVE-2020-16042 è un problema in BigInt, un componente JavaScript che avrebbe potuto attivare l'esposizione della memoria non inizializzata. La descrizione di Google è diversa, poiché il bug viene definito "utilizzo non inizializzato" che influisce sul motore JavaScript V8 di Chrome. L'avviso di sicurezza di Google non specifica inoltre la natura della vulnerabilità. Ciò che si sa è che questi tipi di bug sono in gran parte trascurati e considerati "errori di memoria insignificanti".
E il resto delle vulnerabilità risolte da Mozilla in Firefox 84?
Come già accennato, gli altri bug sono classificati come di alta gravità. Due di loro sono descritti come "bug di sicurezza della memoria" – CVE-2020-35114 e CVE-2020-35113. "Alcuni di questi bug hanno mostrato segni di danneggiamento della memoria e presumiamo che con uno sforzo sufficiente alcuni di questi potrebbero essere stati sfruttati per eseguire codice arbitrario,"Dice l'avviso. Entrambe le patch hanno risolto problemi in Firefox 84 e ESR 78.6 Browser.
Altre vulnerabilità associate alla memoria del browser sono CVE-2020-26971, CVE-2020-26972 e CVE-2020-26973.
Maggiori informazioni sono disponibili in Avviso di sicurezza di Mozilla.
All'inizio di quest'anno, Firefox ha corretto una vulnerabilità di divulgazione di informazioni. CVE-2.020-12.418, scoperto da Cisco Talos, potrebbero essere sfruttati inducendo l'utente a visitare una pagina web appositamente predisposta tramite il browser. In caso di riuscito exploit, l'attore di minaccia potrebbe usare la memoria trapelata per bypassare ASLR (Address Space Layout Randomization). Se il difetto è combinato con altri bug, l'attaccante potrebbe ottenere la capacità di eseguire codice arbitrario, i ricercatori avvertono.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: