Mozilla ha appena annunciato il rilascio di Firefox 67.0.4, nuova versione del browser che permette di risolvere una grave vulnerabilità strettamente correlata con quella sanata nei giorni scorsi: Scoperta e già sfruttata per sferrare attacchi una pericolosa vulnerabilità di Firefox.
Gli sviluppatori spiegano che combinando l’utilizzo della falla di sicurezza corretta in Firefox 67.0.3 e quella appena risolta, utenti malintenzionati potevano eseguire codice malevolo sulla macchina della vittima.
L’aggressione è un classico esempio di attacco di tipo sandbox escaping: facendo leva sulla coppia di vulnerabilità, i criminali informatici potevano superare il perimetro fissato dal browser ed eseguire codice arbitrario sulla macchina.
I tecnici di Mozilla hanno confermato che le due lacune di sicurezza sono già state utilizzate per sferrare attacchi mirati.
Gli utenti di Firefox sono quindi invitati a installare la release del browser appena rilasciata nel più breve tempo possibile.
Il problema riguarda anche la versione di Firefox che garantisce supporto a più lungo termine (ESR): Mozilla ha infatti contestualmente pubblicato Firefox ESR 60.7.2 (vedere questa pagina di supporto).
Ci si aspetta quindi che anche il team di Tor Browser, che si basa proprio su Firefox ESR, aggiorni a breve l’applicazione per scongiurare anche rischi legati alla “deanonimizzazione” degli utenti.
Per applicare tutti gli ultimi aggiornamenti, basta premere il tasto ALT
in Firefox, fare clic sul menu Aiuto quindi su Informazioni su Firefox.