Firefox, falla 0-day utilizzata per eseguire malware sui Mac. Meglio aggiornare

Firefox, falla 0-day utilizzata per eseguire malware sui Mac. Meglio aggiornare

Una vulnerabilità "type confusion" consente a un eventuale aggressore di eseguire codice malevolo attraverso Firefox. Il bug è stato corretto e l'aggiornamento è caldamente consigliato

di pubblicata il , alle 16:01 nel canale Sicurezza
FirefoxMozilla
 

Il team alla base di Firefox ha rilasciato un aggiornamento critico per correggere una vulnerabilità 0-day sul browser che è già stata attivamente sfruttata. I browser di ultima generazione sono tutti estremamente sicuri se vengono aggiornati costantemente, tuttavia questo non vale con le vulnerabilità 0-day che non sono ancora state corrette. In questi casi, infatti, si usa un browser che potrebbe essere attaccato da eventuali aggressori.

Proprio per questo chi utilizza Firefox come proprio browser principale o secondario, dovrebbe aggiornare con rapidità alla versione 67.0.3, l'unica attualmente sicura dalla vulnerabilità 0-day recentemente scoperta. In una nota di sicurezza rilasciata dalla compagnia si legge che l'impatto del bug presente - definito "type confusion vulnerability" - è "critico": il problema sembra presente su Array.pop, e può essere sfruttato con la manipolazione di oggetti JavaScript per scatenare un crash.

Il crash è sfruttabile attraverso l'esecuzione di codice sfruttando il bug su Array.pop, con la compagnia che conferma di essere "a conoscenza di attacchi mirati che sfruttano questa falla". La scoperta del bug è stata fatta da Samuel Groß, del prolifico Project Zero di Google, e dal team di sicurezza di Coinbase. Si presume che la vulnerabilità venga sfruttata per attaccare chi è proprietario di criptovalute, e al momento in cui scriviamo sembra che solo gli utenti di sistemi con macOS debbano preoccuparsi.

In ogni caso non ci sono controindicazioni ad aggiornare alla versione più recente e sicura di Firefox, e l'update è consigliato per tutti gli utenti attraverso le impostazioni del browser o dal sito ufficiale. La procedura dovrebbe essere completata anche automaticamente, soprattutto se non è stato indicato diversamente dall'utente nelle Impostazioni. È curioso notare come l'aggiornamento sia stato rilasciato solo durante questa settimana, ma le prime segnalazioni della vulnerabilità da parte del Project Zero risalgono allo scorso mese di aprile.

6 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Sandro kensan22 Giugno 2019, 00:52 #1
Quindi meglio aggiornare.
biometallo22 Giugno 2019, 08:49 #2
Originariamente inviato da: Sandro kensan
Quindi meglio aggiornare.

Captain Obvius says:
<<Il potere dell'ovvio scorre potente in te, un giorno ti chiamerò a farmi da spalla e assieme poteremo l'ovvio a livelli mai raggiunti prima! >>

comunque sicuramente conviene aggiornare sempre e comunque, se poi hai un mac e un borsello pieno di bitcoin conviene farlo ieri...
Yakkuz22 Giugno 2019, 16:37 #3
Articolo uscito ventiquattro ore DOPO che è stato rilasciato NON l'hotifix 67.0.3 a cui si fa riferimento, ma addiruttura quello successivo, 67.0.4, che corregge un'altra falla:

https://www.mozilla.org/en-US/secur.../#firefox67.0.4

Sempre sul pezzo, eh, mi raccomando.
Totix9222 Giugno 2019, 19:18 #4
Tanto la maggioranza della gente non aggiorna nulla, o perché non sa manco cos'è un aggiornamento, o per i soliti che dicono "eh ma tanto funziona bene, meglio lasciarlo com'è"
aqua8423 Giugno 2019, 10:27 #5
Originariamente inviato da: Totix92
Tanto la maggioranza della gente non aggiorna nulla, o perché non sa manco cos'è un aggiornamento, o per i soliti che dicono "eh ma tanto funziona bene, meglio lasciarlo com'è"

Vero, anche se per quanto riguarda Firefox l aggiornamento avviene in automatico, e al successivo riavvio della applicazione ti trovi già la nuova versione.
Come Chrome anche.
biometallo23 Giugno 2019, 10:32 #6
Originariamente inviato da: aqua84
Vero, anche se per quanto riguarda Firefox l aggiornamento avviene in automatico, e al successivo riavvio della applicazione ti trovi già la nuova versione.
Come Chrome anche.


Abbastanza vero, anche se mi è capitato a volte di dover "forzare" l'aggiornamento andando nel menu alla voce informazioni su chrome\firefox e altre volte, quando ci si ritrova a dover aggiornare una versione molto vecchia la procedura fallisce e bisogna andare a scaricare manualmente la versione più nuova.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^