Mozilla ha appena rilasciato Firefox 67.0.3 e Firefox ESR 60.7.1 per risolvere una grave vulnerabilità utilizzabile da malintenzionati e criminali informatici per eseguire codice nocivo sul dispositivo delle vittime.
Come viene spiegato in questa pagina di supporto, il problema stavolta è davvero grave perché gli aggressori stanno già facendo leva per sferrare attacchi, sia mirati che su più vasta scala.
Il bug di sicurezza è stato scoperto da uno dei membri del Google Project Zero in collaborazione con Coinbase Security.
Alla radice della problematica una cattiva implementazione della funzione JavaScript Array.pop
, normalmente utilizzata per la rimozione dell’ultimo elemento che costituisce un array.
I dettagli tecnici sulle modalità con cui il bug viene sfruttato non sono stati condivisi ma certo è che chi non aggiorna alle ultime versioni di Firefox può incorrere nell’esecuzione di codice arbitrario in modalità remota, semplicemente visitando una pagina web malevola.
La falla di sicurezza potrebbe essere sfruttata anche per “deanonimizzare” gli utenti di Tor Browser e raccogliere dati personali come indirizzi IP, MAC address e nomi di host (come accaduto nel 2016). Tor Browser (che poggia su Firefox ESR, Extended Release Support, ovvero la versione del browser con supporto a lungo termine) è stato appena aggiornato alla versione 8.5.2. Manca all’appello soltanto l’update per Android che sarà distribuito nel corso del prossimo fine settimana.
Per aggiornare velocemente Firefox, indipendentemente dalla versione del browser in uso, suggeriamo di premere il tasto ALT
, fare clic sul menu Aiuto e infine su Informazioni su Firefox.