Rilasci di aggiornamento di Firefox con la patch di vulnerabilità CVE-2019-17026
Il nuovo aggiornamento di Mozilla Firefox è stato implementato con la correzione di una vulnerabilità zero-day etichettata come CVE-2019-17026 che è stata attivamente sfruttata in natura. La vulnerabilità consente agli aggressori che sfruttano il browser di assumere il controllo completo del sistema infetto.
Ecco la notifica emessa dalla Cybersecurity and Infrastructure Security Agency (CISA) del Dipartimento degli Stati Uniti d’America:
“Mozilla ha rilasciato aggiornamenti di sicurezza per risolvere la vulnerabilità in Firefox e Firefox ESR. Un utente malintenzionato può sfruttare questa vulnerabilità per assumere il controllo di un sistema interessato. Questa vulnerabilità è stata rilevata negli exploit in natura. ”
Questo in realtà afferma quanto fosse critica la vulnerabilità. L’aggiornamento di Firefox con le correzioni di questa vulnerabilità è stato rilasciato l’8 gennaio subito dopo un altro importante aggiornamento versione 72 del 7 gennaio che ha risolto 11 vulnerabilità della sicurezza. Tutti gli utenti di Firefox devono immediatamente patchare il browser con l’ultimo aggiornamento, che è 72.0.1 per Firefox e 68.4.1 Firefox ESR.
Da dove si verifica la vulnerabilità
Mozilla Firefox è il browser più popolare e il secondo più utilizzato dopo Google Chrome. Le ultime statistiche dicono che sta prendendo il 9,54% della quota di mercato nel settore. Questo potrebbe essere il motivo per cui l’aggiornamento è sinceramente focalizzato e l’istituto governativo consigliava agli utenti di installare l’ultimo aggiornamento di Firefox con la patch della vulnerabilità zero-day.
Qihoo 360, una società di sicurezza cinese ha scoperto questo difetto CVE-2019-17026 del browser Firefox. Nessuna scoperta della minaccia Intelligence Company è stata pubblicata pubblicamente e nessun dettaglio è stato rivelato a coloro che hanno cercato di contattare l’azienda. Ciò che è noto, la vulnerabilità si verifica quando la risorsa che il programma alloca o inizializza non trova alcuna corrispondenza con ciò che le risorse originariamente utilizzate in esso. In altre parole, è possibile utilizzare l’esecuzione di un codice remoto per accedere al programma.
Qual è l’unica cosa che si sa attualmente, come spiegato nella consulenza di Mozilla:
“Informazioni errate sull’alias nel compilatore JIT IonMonkey per l’impostazione degli elementi dell’array potrebbero causare confusione nei tipi.”
Le vulnerabilità zero-day sono molto pericolose
Le vulnerabilità zero-day di un programma sono quei bug che non sono stati ancora scoperti dallo sviluppatore o da altri membri della comunità di sicurezza delle informazioni e sono utilizzati da attori malvagi in natura. Gli hacker possono utilizzare tali bug e sfruttare qualsiasi cosa senza limitazioni. Di recente, le due vulnerabilità di Firefox che sono state patchate hanno interessato la versione del browser per Mac OS e hanno permesso agli hacker di creare backdoor per lo scambio di criptovaluta.