Mozilla ha rilasciato la versione 98.0 di Firefox come aggiornamento urgente di sicurezza per correggere alcune vulnerabilità con differenti livelli di gravità e di tipo:
- Denial of Service
- Security Restrictions Bypass
- Spoofing
Se sfruttate, le vulnerabilità potrebbero quindi consentire di bypassare le impostazioni di sicurezza del browser e causarne continui crash.
Secondo lo CSIRT Italia, la stima d’impatto della vulnerabilità è Medio/Giallo (57,23/100).
Contestualmente a questo aggiornamento, Mozilla ha rilasciato anche la versione 91.7 di Firefox ESR (Extended Support Release). Quest’ultima, lo ricordiamo, è la versione ufficiale del browser sviluppata per grandi organizzazioni come, ad esempio, le università e le aziende che hanno la necessità di installare e mantenere Firefox su larga scala. I dettagli delle vulnerabilità corrette in questa versione del browser sono riportate in un apposito bollettino di sicurezza.
Indice degli argomenti
I dettagli delle vulnerabilità corrette in Firefox
In particolare, come si evince dal bollettino di sicurezza pubblicato da Mozilla, quattro vulnerabilità hanno un indice di gravità elevato (altre tre sono classificate, invece, come moderate):
- CVE-2022-26381: la vulnerabilità è di tipo use-after-free (consente, quindi, agli aggressori di caricare codice dannoso in una posizione di memoria che è stata liberata una volta che i suoi contenuti precedenti non sono più in uso). Se sfruttata, potrebbe consentire all’attaccante di causare un crash del browser forzando una corruzione di memoria usata da un oggetto SVG caricato durante la navigazione su Internet.
- CVE-2022-26383: la vulnerabilità, di tipo spoofing, si potrebbe presentare in particolare condizioni di utilizzo della modalità di visualizzazione delle pagine web a tutto schermo.
- CVE-2022-26384: la vulnerabilità, di tipo spoofing, consente di eseguire codice remoto evadendo dalla sandbox del browser. In particolare, se sfruttata, potrebbe consentire a un attaccante di creare un link che, se cliccato dall’utente, porta all’esecuzione di codice JavaScript in violazione della sandbox.
- CVE-2022-26387: la vulnerabilità si presenta durante la verifica delle firme dei componenti aggiuntivi del browser. In particolare, quando si installa un componente aggiuntivo, Firefox verifica la firma prima di chiedere conferma di installazione all’utente. Il bug si presenta proprio nel breve intervallo di tempo prima che l’utente dia la conferma richiesta, durante il quale il file di installazione del componente aggiuntivo potrebbe essere stato modificato senza che il browser se ne accorga.
Ecco perché è importante aggiornare il browser
Alla luce di quanto visto e in considerazione del fatto che, con la diffusione dello smart working, il browser è utilizzato sempre più spesso per accedere a risorse web aziendali, è importante aggiornare quanto prima la versione installata sui propri sistemi.
Per farlo, è possibile controllare manualmente la presenza di nuovi aggiornamenti accedendo al menu Aiuto/Informazioni su Firefox. Firefox controllerà e installerà automaticamente l’ultimo aggiornamento e chiederà di riavviare il browser per applicare le modifiche.
L’aggiornamento corregge anche due vecchie vulnerabilità zero-day
È bene ricordare, inoltre, che l’aggiornamento alla versione 98.0 segue di pochi giorni quello alle versioni Firefox 97.0.2, Firefox ESR 91.6.1, Firefox for Android 97.3.0 e Focus 97.3.0 che hanno corretto due vulnerabilità di sicurezza critiche che i criminal hacker hanno già attivamente sfruttato in natura come zero-day.
Entrambe le vulnerabilità, classificate come CVE-2022-26485 e CVE-2022-26486, sono di tipo use-after-free (lo ricordiamo: si tratta di problemi di corruzione della memoria che si verificano quando un’applicazione continua a cercare di utilizzare un pezzo di memoria che è stato assegnato ad essa, dopo che tale pezzo è stato liberato per essere utilizzato da un’altra applicazione).
Il primo bug è un problema use-after-free nell’elaborazione dei parametri XSLT del browser. I parametri XSLT sono utilizzati per la creazione di fogli di stile che vengono utilizzati per determinare l’aspetto di un sito web.
Il secondo bug, sempre di tipo use-after-free, interessa invece il framework WebGPU, un’API web che consente la riproduzione di contenuti multimediali contenuti nelle pagine web utilizzando la GPU, cioè l’unità di elaborazione grafica, del computer su cui è installato Firefox. La libreria, in particolare, consente la corretta gestione delle videoconferenze, di numerosi giochi online e della modellazione 3D.
Entrambe le vulnerabilità possono portare all’esecuzione di codice in remoto (RCE), corruzione dei dati e crash di sistema.
Un motivo in più per procedere il prima possibile all’aggiornamento di Firefox.
