Grave falla 0-day su Firefox e Tor Browser: rilasciato il fix

Grave falla 0-day su Firefox e Tor Browser: rilasciato il fix

È da installare subito l'ultima versione di Firefox, o Tor Browse, dal momento che l'ultimo aggiornamento corregge una grave vulnerabilità divulgata negli scorsi giorni

di pubblicata il , alle 12:01 nel canale Sicurezza
MozillaFirefox
 

I team di sviluppatori di Mozilla e Tor hanno pubblicato degli aggiornamenti per Firefox e Tor Browser al fine di sistemare una grave vulnerabilità 0-day che consentiva di eseguire codice da remoto e rendere inefficaci i sistemi di anonimizzazione sulle reti Tor.

"La vulnerabilità di sicurezza responsabile di questo rilascio urgente è già sfruttata attivamente sui sistemi Windows", scrive un responsabile di Tor su un documento pubblicato mercoledì. "Anche se non ci sono exploit simili su Linux e OS X, il bug era presente anche su queste ultime piattaforme. Raccomandiamo a tutti gli utenti di aggiornare i loro Tor Browser immediatamente". Tor Browser si basa su Firefox, che è open-source ed è sviluppato da Mozilla Foundation. Dopo la pubblicazione della pagina sul sito ufficiale di Tor è infatti arrivato un post di Mozilla che informava del rilascio dell'aggiornamento su una versione di Firefox installabile da tutti gli utenti.

L'aggressione era in grado di eseguire del codice dopo che sul sistema target veniva iniettato codice JavaScript malevolo e codice basato su animazioni scalabili di grafica vettoriale. Stando alle nuove informazioni rilasciate l'exploit aveva la capacità di inviare gli indirizzi IP e MAC del computer vittima ad un server controllato dall'aggressore, e ricorda molto da vicino alcune tecniche utilizzate dalle agenzie delle forze dell'ordine per captare dati sensibili di utenti terzi. Come scrivevamo ieri, la vulnerabilità può essere collegata ad un altro bug risalente al 2013 sfruttato dalla FBI per identificare alcuni utenti su Tor che scambiavano materiale pedopornografico.

Tale caratteristica ha fatto supporre sin da subito che l'exploit fosse stato creato dalle stesse agenzie americane per finalità di indagini tuttavia Daniel Veditz sottolinea sul suo post che non ci sono prove per confermare la supposizione. In più, il caso specifico evidenzia la pericolosità di allentare le difese dei sistemi informatici per facilitare le indagini alle agenzie governative: una volta che una vulnerabilità esce allo scoperto, infatti, diventa estremamente pericolosa se passa nelle mani sbagliate. La falla 0-day degli scorsi giorni è contrassegnata come critica con l'identificativo CVE-2016-9079 ed è presente non solo su Firefox, ma anche su Thunderbird e su Tor Browser.

Per quanto riguarda quest'ultimo software la nuova release introduce un aggiornamento di NoScript, estensione per Firefox che viene offerta in dotazione con la versione modificata del browser. NoScript permette agli utenti di selezionare i siti che possono e non possono eseguire JavaScript sul browser, ma non sono del tutto chiare le novità incluse in questo update dell'estensione. A questo indirizzo trovate maggiori informazioni sulla vulnerabilità 0-day corretta dai nuovi fix.
1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Cloud7601 Dicembre 2016, 13:15 #1
Per quanto riguarda quest'ultimo software la nuova release introduce un aggiornamento di NoScript, estensione per Firefox che viene offerta in dotazione con la versione modificata del browser. NoScript permette agli utenti di selezionare i siti che possono e non possono eseguire JavaScript sul browser, ma non sono del tutto chiare le novità incluse in questo update dell'estensione.


In che senso, cosa non è chiaro? C'è qualcosa di strano?

https://noscript.net/

V. 2.9.5.2 - Secure all those processes!

Main good news

Improved reliability of HTML 5 media blocking in specific configurations (e.g. Tor Browser's "Medium" Security Slider preset).
Fixed compatibility issues with other add-ons (most notably a Stylish in-tab editor breakage).
Full multi-process Firefox (e10s) compatibility.
Selective blocking for HTML 5 audio and video content dinamically built via Media Source Extensions (MSE).
Multiple XSS filter and content blocking improvements.
Updated google-analytics.com script surrogate (thanks noscriptsplox).
Holding the left mouse button down on an absolutely positioned page element and hitting the DEL key will remove it if scripts are disabled (useful to forcibly kill in-page popups). This feature can be disabled by setting the noscript.eraseFloatingElements about:config preference to false.
Right-clicking on NoScript menu items copy site domains to the clipboard (useful for reporting and investigating sites, thanks Tom T. for RFE)
"Click to play" protection against WebGL exploitation, now also on whitelisted sites (can be enabled in NoScript Options|Embeddings)
Security and Privacy Info page is shown whenever you middle-click on sites exposed by NoScript's UI, either in the menus or in the Whitelist options tab.
Middle clicking NoScript's toolbar button temporarily allows all on current page.


altro:
https://noscript.net/changelog

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^