L’agenzia di sicurezza informatica statunitense avverte che la vulnerabilità critica potrebbe consentire a dei criminali informatici di assumere il controllo dei computer delle persone.
Mozilla ha rilasciato una nuova versione del suo browser Firefox per risolvere una vulnerabilità critica zero-day, già sfruttata in alcuni attacchi mirati.
Tuttavia i dettagli sulla falla e sul modo in cui viene sfruttata purtroppo sono al momento scarsi. Dalle poche informazioni ottenute, secondo l’avviso di sicurezza di Mozilla pubblicato mercoledì scorso, è che si tratta di un errore type confusion scoperto in IonMonkey, il compilatore just-in-time (JIT) per il motore JavaScript SpiderMonkey del browser.
Una nota ufficiale della Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti rileva che il difetto potrebbe essere sfruttato per assumere il controllo di un particolare sistema.
Mozilla ha affermato di essere “consapevole degli attacchi mirati identificati in-the-wild che sfruttano questo bug”. La vulnerabilità è stata classificata come CVE-2019-17026 e riguarda sia Firefox che Firefox ESR, quest’ultimo utilizzato soprattutto nelle grandi organizzazioni.
Le nuove versioni del browser – Firefox 72.0.1 e Firefox ESR 68.4.1 – sono disponibili per tutte le piattaforme desktop supportate: Windows, macOS e Linux. Inutile dire che si consiglia agli utenti di non perdere tempo nell’installare l’aggiornamento. Per implementare le correzioni sarà sufficiente accedere al menu di Firefox, cliccando poi su Aiuto e infine su Informazioni su Firefox. Secondo Statcounter, Firefox ha una quota di mercato dei browser desktop pari al 9 percento.
Gli aggiornamenti che risolvono la vulnerabilità in questione sono stati rilasciati solo un giorno dopo che Mozilla ha distribuito Firefox 72.0 e Firefox ESR 68.4 , versioni che a loro volta includevano correzioni per diversi problemi di sicurezza, sebbene in gran parte meno gravi.
Solo lo scorso giugno, Mozilla è dovuto intervenire per risolvere altre due vulnerabilità zero-day identificate con soli due giorni di distanza l’una dall’altra. Ma Firefox non è il solo ad aver dovuto fronteggiare queste emergenze, negli ultimi mesi infatti anche altri browser Web, in particolare Chrome e Internet Explorer, hanno ricevuto patch di emergenza per zero-day.
Alcuni anni fa, i ricercatori di ESET hanno documentato come dei criminali avessero abusato di un zero-day che colpiva Firefox.
Lascia un commento