Mozilla ha prontamente risolto due vulnerabilità zero-day in Firefox dopo che il ricercatore Manfred Paul, conosciuto con il nickname @_manfp, le ha presentate durante il Pwn2Own, la competizione di sicurezza informatica che si è tenuta a Vancouver la scorsa settimana.
Durante l’evento, Paul ha dimostrato lo sfruttamento delle due vulnerabilità, entrambe classificate come “critiche”. In realtà, i punteggi CVSS specifici devono essere ancora assegnati, ma si ritiene che entrambe le falle abbiano un punteggio di gravità pari o superiore a 9.0 su 10.
Al momento, sono state tracciate come CVE-2024-29943 e CVE-2024-29944 e classificate, rispettivamente, come un bug di esecuzione di codice arbitrario e di bypass delle funzioni di sicurezza del browser.
Se non corrette, entrambe le vulnerabilità potrebbero essere attivamente sfruttabili in rete.
Indice degli argomenti
I dettagli delle vulnerabilità zero-day in Firefox
La stessa Mozilla ha così descritto le due vulnerabilità nel rispettivo avviso di sicurezza:
- CVE-2024-29943: Un attaccante è stato in grado di eseguire una lettura o scrittura fuori limite (out-of-bounds) su un oggetto JavaScript riuscendo a ingannare l’eliminazione del controllo dei limiti basato sul range.
- CVE-2024-29944: Un attaccante è stato in grado di iniettare un gestore di eventi in un oggetto privilegiato che avrebbe permesso l’esecuzione arbitraria di codice JavaScript nel processo padre. Nota: Questa vulnerabilità riguarda solo Firefox per desktop, non influisce sulle versioni mobile di Firefox.
Durante i lavori del Pwn2Own, il ricercatore di sicurezza ha quindi dimostrato la pericolosità delle due vulnerabilità concatenandone i rispettivi exploit.
In particolare, lo sfruttamento della vulnerabilità CVE-2024-29944 ha consentito a Paul di manipolare la memoria di Firefox attraverso i gestori di eventi JavaScript e di scrivere codice arbitrario oltre i limiti previsti di memoria.
Quindi, lo sfruttamento della CVE-2024-29943 gli ha poi offerto l’opportunità di eseguire il suo codice personalizzato per aggirare i controlli di sicurezza della sandbox di Firefox.
Una combinazione di attività malevole che, se sfruttata in rete, potrebbe consentire a un attaccante di installare malware, rubare dati sensibili e creare backdoor per il controllo remoto dei sistemi esposti.
La scoperta delle due vulnerabilità e la dimostrazione di una loro possibile concatenazione hanno consentito a Manfred Paul di vincere un premio di 100.000 dollari e 10 punti Master of Pwn.
Come mitigare le due vulnerabilità in Firefox
Nelle 24 ore successive alla dimostrazione di Manfred Paul al Pown2Own, Mozilla ha verificato l’autenticità delle due vulnerabilità nel suo browser e ha prontamente rilasciato le relative patch incluse nelle versioni Firefox 124.0.1 e Firefox ESR 115.9.1.
Vista la potenziale gravità delle due vulnerabilità, è consigliabile installare quanto prima la versione di Firefox installata sui propri sistemi.
Da segnalare, però, che alcuni utenti hanno riscontrato situazioni in cui stavano utilizzando Firefox 123, ma non potevano aggiornare direttamente alla versione 124.0.1. Hanno dovuto prima passare alla versione 124.0 e poi cercare gli aggiornamenti una seconda volta per arrivare alla versione 124.0.1.
Un inconveniente confermato anche da Frederik Braun, ingegnere di sicurezza di Firefox e manager presso Mozilla, che su Mastodon ha spiegato che la versione 124.0 è stata un roll-out a fasi. La versione 124.0.1 è senza limitazioni ed è offerta al 100% dei nostri utenti”.
In ogni caso, la scoperta delle due vulnerabilità zero-day in Firefox, sebbene non ancora sfruttate, ci ricorda quanto sia importante tenere sempre costantemente aggiornato il proprio browser e, più in generale, tutti i software installati nei propri sistemi.
Gli aggiornamenti possono essere installati manualmente accedendo al menu di controllo di Firefox, cliccando sul pulsante con le tre linee orizzontali in alto a destra, e poi accedendo alla sezione Aiuto del menu contestuale. Quindi, nella schermata successiva è sufficiente cliccare su Informazioni su Firefox per verificare l’effettiva disponibilità degli aggiornamenti anche per la versione del browser in uso. Gli aggiornamenti verranno, quindi, automaticamente scaricati e sarà poi sufficiente cliccare su Riavvia per aggiornare Firefox per installarli e mettere in sicurezza il browser.
