L'ANALISI TECNICA

Firefox, importante aggiornamento di sicurezza: installiamolo subito

Mozilla ha rilasciato la versione 98.0 di Firefox (e la 91.7 di Firefox ESR) per correggere alcune pericolose vulnerabilità che, se sfruttate, potrebbero consentire di mandare in crash il browser e bypassare i sistemi di sicurezza. Installiamo subito l’update per proteggere le nostre navigazioni sul Web

09 Mar 2022
Paolo Tarsitano

Editor Cybersecurity360.it

Mozilla ha rilasciato la versione 98.0 di Firefox come aggiornamento urgente di sicurezza per correggere alcune vulnerabilità con differenti livelli di gravità e di tipo:

  • Denial of Service
  • Security Restrictions Bypass
  • Spoofing

Se sfruttate, le vulnerabilità potrebbero quindi consentire di bypassare le impostazioni di sicurezza del browser e causarne continui crash.

Secondo lo CSIRT Italia, la stima d’impatto della vulnerabilità è Medio/Giallo (57,23/100).

Contestualmente a questo aggiornamento, Mozilla ha rilasciato anche la versione 91.7 di Firefox ESR (Extended Support Release). Quest’ultima, lo ricordiamo, è la versione ufficiale del browser sviluppata per grandi organizzazioni come, ad esempio, le università e le aziende che hanno la necessità di installare e mantenere Firefox su larga scala. I dettagli delle vulnerabilità corrette in questa versione del browser sono riportate in un apposito bollettino di sicurezza.

I dettagli delle vulnerabilità corrette in Firefox

In particolare, come si evince dal bollettino di sicurezza pubblicato da Mozilla, quattro vulnerabilità hanno un indice di gravità elevato (altre tre sono classificate, invece, come moderate):

WEBINAR
26 Maggio 2022 - 12:00
Sicurezza IT e identità digitali: come essere pronti ai nuovi trend in azienda
Dematerializzazione
Marketing
  1. CVE-2022-26381: la vulnerabilità è di tipo use-after-free (consente, quindi, agli aggressori di caricare codice dannoso in una posizione di memoria che è stata liberata una volta che i suoi contenuti precedenti non sono più in uso). Se sfruttata, potrebbe consentire all’attaccante di causare un crash del browser forzando una corruzione di memoria usata da un oggetto SVG caricato durante la navigazione su Internet.
  2. CVE-2022-26383: la vulnerabilità, di tipo spoofing, si potrebbe presentare in particolare condizioni di utilizzo della modalità di visualizzazione delle pagine web a tutto schermo.
  3. CVE-2022-26384: la vulnerabilità, di tipo spoofing, consente di eseguire codice remoto evadendo dalla sandbox del browser. In particolare, se sfruttata, potrebbe consentire a un attaccante di creare un link che, se cliccato dall’utente, porta all’esecuzione di codice JavaScript in violazione della sandbox.
  4. CVE-2022-26387: la vulnerabilità si presenta durante la verifica delle firme dei componenti aggiuntivi del browser. In particolare, quando si installa un componente aggiuntivo, Firefox verifica la firma prima di chiedere conferma di installazione all’utente. Il bug si presenta proprio nel breve intervallo di tempo prima che l’utente dia la conferma richiesta, durante il quale il file di installazione del componente aggiuntivo potrebbe essere stato modificato senza che il browser se ne accorga.

Ecco perché è importante aggiornare il browser

Alla luce di quanto visto e in considerazione del fatto che, con la diffusione dello smart working, il browser è utilizzato sempre più spesso per accedere a risorse web aziendali, è importante aggiornare quanto prima la versione installata sui propri sistemi.

Per farlo, è possibile controllare manualmente la presenza di nuovi aggiornamenti accedendo al menu Aiuto/Informazioni su Firefox. Firefox controllerà e installerà automaticamente l’ultimo aggiornamento e chiederà di riavviare il browser per applicare le modifiche.

L’aggiornamento corregge anche due vecchie vulnerabilità zero-day

È bene ricordare, inoltre, che l’aggiornamento alla versione 98.0 segue di pochi giorni quello alle versioni Firefox 97.0.2, Firefox ESR 91.6.1, Firefox for Android 97.3.0 e Focus 97.3.0 che hanno corretto due vulnerabilità di sicurezza critiche che i criminal hacker hanno già attivamente sfruttato in natura come zero-day.

Entrambe le vulnerabilità, classificate come CVE-2022-26485 e CVE-2022-26486, sono di tipo use-after-free (lo ricordiamo: si tratta di problemi di corruzione della memoria che si verificano quando un’applicazione continua a cercare di utilizzare un pezzo di memoria che è stato assegnato ad essa, dopo che tale pezzo è stato liberato per essere utilizzato da un’altra applicazione).

Il primo bug è un problema use-after-free nell’elaborazione dei parametri XSLT del browser. I parametri XSLT sono utilizzati per la creazione di fogli di stile che vengono utilizzati per determinare l’aspetto di un sito web.

Il secondo bug, sempre di tipo use-after-free, interessa invece il framework WebGPU, un’API web che consente la riproduzione di contenuti multimediali contenuti nelle pagine web utilizzando la GPU, cioè l’unità di elaborazione grafica, del computer su cui è installato Firefox. La libreria, in particolare, consente la corretta gestione delle videoconferenze, di numerosi giochi online e della modellazione 3D.

Entrambe le vulnerabilità possono portare all’esecuzione di codice in remoto (RCE), corruzione dei dati e crash di sistema.

Un motivo in più per procedere il prima possibile all’aggiornamento di Firefox.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5