Firefox: aggiornamento urgente per due vulnerabilità

Rilasciata nello scorse ore dagli sviluppatori della fondazione Mozilla, Firefox 97.0.2 è una nuova versione del noto browser per la navigazione Web che non presenta alcuna nuova funzionalità ma non è per questo meno importante rispetto ad altri update.

Due vulnerabilità critiche

Si tratta in sostanza di una security release non pianificata e realizzata in emergenza per la risoluzione di due problematiche di sicurezza entrambe classificate come "Critiche", per questo motivo si consiglia di effettuarne l'installazione il più rapidamente possibile se l'applicazione non è stata già configurata per ricevere automaticamente i nuovi aggiornamenti.

Tale urgenza è stata sottolineata dagli stessi portavoce della Foundation che avrebbero già ricevuto delle segnalazioni di attacchi mirati contro le installazioni non patchate di Firefox. A tal proposito è utile notare come il report realizzato in proposito da Mozilla non fornisca dettagli approfonditi riguardo alle vulnerabilità individuate, questo per evitare che gli utenti malintenzionati possano disporre di informazioni utili per i loro tentativi di attacco.

Nello specifico parliamo delle problematiche di sicurezza:

• CVE-2022-26485: un bug che potrebbe spianare la strada ad attività basate sulla RCE (Remote Code Execution), attraverso di esso un attaccante privo di privilegi di accesso o di un account nel terminale target avrebbe la possibilità di eseguire il codice di un malware attraverso un semplice input da parte delle vittime, per esempio tramite l'accesso ad un sito Internet appositamente confezionato.
• CVE-2022-26486: una vulnerabilità che potrebbe permettere di accedere a file che non dovrebbero essere normalmente raggiungibili, può essere sfruttata anche in associazione ad azioni di RCE per fare in modo che un malware possa superare il perimetro di sicurezza del browser.

I rischi di un attacco

A rendere ancora più preoccupanti questo particolare tipo di minacce sarebbe il fatto che con esse un attaccante potrebbe avere accesso alla memoria del sistema ospitante e quindi ad altre applicazioni installate in esso.

Le conseguenze di un attacco potrebbero riassumersi in malfunzionamenti a carico del browser, crash e in alcuni casi nella corruzione di dati. L'ipotesi peggiore è però che attraverso delle versioni non aggiornate di Firefox un attaccante possa riuscire ad attivare delle applicazioni che eseguano del codice insicuro.

Oltre all'aggiornamento per le versioni Desktop di Firefox sono state rilasciate anche la release 97.3.0 per il sistema operativo mobile Android e la 91.6.1 per Firefox ESR (Extended Support Release).