Firefox: Mozilla corregge due vulnerabilità zero-day, si consiglia di aggiornare

21 Giugno 2019 46

Aggiornamento 21/06:

Mozilla ha rilasciato una nuova patch che corregge un'altra vulnerabilità zero-day. Il bug (CVE-2019-1178), combinato con il precedente, poteva consentire l'esecuzione di codice malevolo sul sistema della vittima. Nel caso specifico, secondo quanto riferito da ZDnet, la doppia falla sarebbe stata sfruttata da un gruppo di hacker nel tentativo di entrare in possesso dei dati dei dipendenti di Coinbase.

Utilizzando la tecnica del phishing, i malintenzionati inviavano e-mail contenenti link che, se aperti in Firefox, davano il via al download e alla successiva esecuzione di un malware che individuava e sottraeva le password del browser ed altri dati personali. L'attacco è stata sviluppato per risultare efficace sia su sistemi Windows, sia su quelli Mac ed ha preso di mira anche altre organizzazioni che si occupano di critpovalute.

La seconda falla è stata corretta con il rilascio di Firefox 67.0.4 e Firefox ESR 60.7.2. Anche in questa occasione è consigliabile scaricare la più recente versione del browser per non correre alcun rischio.

Articolo originale - 19/06

Mozilla ha corretto una vulnerabilità zero-day di Firefox: dopo il recente cambio di logo, è tempo di pensare alla sicurezza del browser chiudendo in tutta fretta la grave falla (CVE-2019-11707) scoperta da Samuel Groß, membro del team Project Zero di Google e di quello che si occupa di sicurezza per conto di Coinbase. Il team di Mozilla fornisce una stringata descrizione del problema: "Una vulnerabilità type confusion si può verificare manipolando gli oggetti JavaScript a causa di problemi in Array.pop". Il risultato finale si traduce in un crash sfruttabile dai malintenzionati.

Mozilla (per ovvie ragioni) non dice in che modo la vulnerabilità può essere usata, ma aggiunge che è al corrente di attacchi mirati che la sfruttano. La circostanza che l'autore della scoperta faccia parte del team di sicurezza di Coinbase ha alimentato l'ipotesi che obiettivo degli attacchi sia entrare in possesso di criptovalute - il sito offre, appunto, servizi di acquisto, vendita e gestione dei portafogli di criptovalute - si tratta però di una teoria non confermata ufficialmente né da Mozilla, né dallo stesso Groß.

La falla è stata chiusa con il rilascio di Mozilla Firefox 67.0.3 e Firefox ESR 60.71. Considerata la gravità, è consigliabile procedere all'aggiornamento. La più recente versione può essere scaricata collegandosi al sito ufficiale o, se il browser è già presente nel sistema, tramite il percorso Impostazioni (menu hamburger nell'angolo in alto a destra) -> Preferenze -> Aggiornamenti di Firefox -> Controlla Aggiornamenti.

Tre fotocamere per il massimo divertimento ad un prezzo top? Huawei Mate 20 Pro, in offerta oggi da Clicksmart a 449 euro oppure da Euronics a 499 euro.

46

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Dea1993

ma in produzione non ha senso usare firefox di 1 anno fa.
anzi e' controproducente, perche' i clienti non useranno firefox ESR ma stable, quindi anche tu sviluppatore non ha senso che lo usi.
sulle distro linux? infatti debian non ha senso che ha debian ESR (e' forse l'unica distro con ESR),
se la usi per il server, un browser non ti serve a niente, per uso desktop, ESR e' solo uno svantaggio.
comunque sia stable non e' una beta, e' una versione stabile e testata.
l'unico momento in cui poteva avere senso ESR era il post quantum, dove alcune estensioni non andavano piu', ma ormai anche ESR ha gli stessi "problemi", quindi non ha davvero alcun senso usarla

MasterBlatter

è una versione senza codice proprietario o chiuso, è basata su una versione più vecchia solo perchè è più controllata rispetto a quella ufficiale, visto anche che è indirizzata per progetti terzi (tor-browser es) e per distro linux da produzione

Aster

fatto

Happy Harry
Happy Harry

Quindi te l’ha raccontata mio cugino? Quello che lavora in ospedale dove ti sei rivolto per togliere il “tappo “

Happy Harry
Happy Harry
Happy Harry

T'apposto?

Esatto!
Guernica di Picasso.

Happy Harry

https:// t .co/8DYFsHh6Xa

Happy Harry

Vulnerabilità?
https:// t .co/8DYFsHh6Xa

deepdark

Cosa hai apposto? Un quadro?

Strafattissimo

La Volpe fa a Fuoco.

T. P.

aggiornato, grazie! :)

cicahahazo

tor?

Super Rich Vintage

Sempre più fatto, ormai mi faccio ogni giorno un aggiornamento con firefox...

talme94

Falla girare

Dea1993

ma che senso ha usare firefox ESR? me lo sono sempre chiesto, e' una versione vecchia, meno performante, e con meno feature... in cambio cosa hai? potenzialmente una maggior stabilita'? ma tanto quando mai capita di avere problemi di stabilita' con firefox stable che non sono presenti in ESR? anzi a causa delle minori feature e performance peggiori, ho avuto piu' problemi con ESR che ne con l'ultima stable

sardanus

e si lo sto informando che è uscito l'altro

ripigliati!

Il suo commento era di 2 giorni fa ;)

sardanus

sono 2 update, oggi è uscito l'altro

sardanus

aspetto la nuova icona da giorni

aaronkatrini

Strafatto

Tiwi

fatto

seldon1000

Se cerchi qualcosa come quello integrato in Chrome, puoi anche smettere di cercare, perché non esiste un traduttore che funzioni così bene su Firefox. Tuttavia, ci sono quelli che sfruttano Google Traduttore per tradurre la pagina in una nuova scheda, e mettono a disposizione un pop-up per la traduzione rapida del testo copiato. Fatti un giro nello store, ce ne sono tanti.

Raphael DeLaghetto

Messi insieme siete strafatti

zdnko

Io uso Tap Translate

Ma farsi da solo col gel pare un pò brutto.

TheFluxter
Super Rich Vintage

Hai fatto bene :p

Ritornoalfuturo

Esiste un traduttore di lingue che funzioni per Firefox su Android ?

Ritornoalfuturo

Io mi sono fatto oggi

Dea1993

semplicemente perche' ancora quel logo non e' uscito sulla release.
HDBlog ha accelerato un po i tempi, facendo credere che fosse gia cosi' in firefox attuale, ma in realta' no.
infatti in rete nessuno (o quasi) ne parla

WryNail

Ho aggiornato ma l'icona è sempre quella vecchia.

Fatto da ieri.

T. P.

letto e riavviato! :)
era già tutto pronto...

Samsung

Xiaomi Mi 9T VS Samsung Galaxy A50: confronto fra best buy

HDMotori.it

Mazda Skyactiv-X: come funziona il benzina che si crede un diesel

Samsung

Recensione Samsung Galaxy A80 (2019): la fotocamera rotante non basta

Amazon

Le migliori offerte dell'Amazon Prime Day 2019 | Martedì 16 luglio