Mozilla ha rilasciato una nuova versione del suo browser Firefox (100.0.2) correzione di una serie di due vulnerabilità di sicurezza critiche. Le patch rendono questo aggiornamento minore di importanza piuttosto significativa. Le versioni interessate includono Firefox, Firefox ESR, Firefox per Android, e Thunderbird (Firefox 100.0.2, Firefox ESR 91.9.1, Firefox per Android 100.3, Thunderbird 91.9.1).
Dovresti aggiornare immediatamente il tuo browser, poiché entrambi potrebbero avere un impatto critico in caso di exploit riuscito.
Vulnerabilità risolte nella versione di Mozilla Firefox 100.0.2
L'ultimo aggiornamento risolve due problemi critici: CVE-2022-1802 e CVE-2022-1529.
La prima vulnerabilità è stata scoperta da Manfred Paul e segnalata tramite Zero Day Initiative di Trend Micro. Secondo l'advisory di Mozilla, "se un utente malintenzionato è stato in grado di corrompere i metodi di un oggetto Array in JavaScript tramite l'inquinamento del prototipo, avrebbero potuto ottenere l'esecuzione di codice JavaScript controllato da un utente malintenzionato in un contesto privilegiato".
La seconda vulnerabilità è stata segnalata dallo stesso ricercatore, e coinvolge anche JavaScript. “Un utente malintenzionato potrebbe aver inviato un messaggio al processo padre in cui i contenuti sono stati utilizzati per indicizzare un doppio oggetto JavaScript, portando all'inquinamento da prototipi e, in definitiva, all'esecuzione di JavaScript controllato dagli aggressori nel processo padre privilegiato,” come per la consulenza.
A marzo, Mozilla rilasciato due aggiornamenti fuori banda per affrontare un paio di criticità zero-day vulnerabilità nel suo browser. Entrambe le vulnerabilità sono state attivamente sfruttate in natura. I due zero-day, CVE-2022-26485 e CVE-2022-26486, derivava da problemi di utilizzo successivo che interessano le trasformazioni del linguaggio dei fogli di stile estensibili (XSLT) elaborazione dei parametri, così come il framework di comunicazione interprocesso WebGPU (IPC).
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: