Mozilla ha rilasciato gli aggiornamenti di sicurezza per il popolare browser Firefox che risolvono una falla zero-day (CVE-2019-17026), che è stata sfruttata in attacchi mirati.
Mozilla ha rilasciato gli aggiornamenti di sicurezza per risolvere una falla critica presente nel popolare browser Firefox (CVE-2.019-17.026). Ordinaria amministrazione direte, se non fosse per il fatto che la vulnerabilità è stata sfruttata in attacchi mirati e che si tratta di una vulnerabilità zero-day, ovvero non nota in fase di attacco.
La falla, codificata come CVE-2019-17026, è definita come “IonMonkey type confusion with StoreElementHole and FallibleStoreElement”, dove è IonMonkey è un componente del motore SpiderMonkey JavaScript di Firefox.
“Siamo a conoscenza di attacchi mirati che hanno sfruttato questa falla.” Recita l’avviso di sicurezza pubblicato da Mozilla.
Mozilla ha quindi confermato di essere a conoscenza di attacchi mirati che sfruttano la vulnerabilità CVE-2019-17026, ma non ha rivelato i dettagli degli attacchi probabilmente per evitare che altri attori malevoli possano sfruttare la stessa falla.
Il mistero si infittisce se pensiamo a come la fatta sia stata annunciata da chi l’ha scoperta. La vulnerabilità è stata segnalata a Mozilla dagli esperti di sicurezza della azienda cinese Qihoo 360.
Gli esperti hanno riferito che la CVE-2019-17026 zero-day è stata sfruttata da attaccanti in abbinata con un’altra vulnerabilità zero-day presente in Internet Explorer. Gli esperti di Qihoo 360 avevano inizialmente annunciato la scoperta via Twitter, ma in seguito il messaggio è stato cancellato, ed ancora piu’ strano è il fatto che Microsoft non ha commentato sulla presunta falla nel suo Internet Explorer.
A confermate la criticità della vulnerabilità c’è anche un bollettino di sicurezza emanato dall’agenzia statunitense Department of Homeland Security’s Cybersecurity and Infrastructure Security Agency (CISA) che ha confermato di essere a conoscenza dello sfruttamento della falla in attacchi e che avverte circa la possibilità che gli stessi attacchi possano consentire a malintenzionati di prendere possesso dei sistemi vulnerabili.
“Mozilla ha rilasciato gli aggiornamenti di sicurezza per risolvere una vulnerabilità in Firefox e Firefox ESR. Un utente malintenzionato potrebbe sfruttare questa vulnerabilità per assumere il controllo del sistema interessato. Questa vulnerabilità è stata sfruttata in attacchi mirati.” Recita il bollettino pubblicato dall’agenzia del Governo americano.
“La Cybersecurity and Infrastructure Security Agency (CISA) incoraggia gli utenti e gli amministratori a consultare il Mozilla Security Advisory per Firefox 72.0.1 e Firefox ESR 68.4.1 e applicare gli aggiornamenti necessari.”
Mozilla ha risolto il difetto con il rilascio delle versioni Firefox 72.0.1 e Firefox ESR 68.4.1.
Questa settimana Mozilla ha rilasciato la versione Firefox 72 che migliora la privacy degli utenti e che risolve una dozzina di ulteriori vulnerabilità.
Concludendo, falle come quella descritta in quest’articolo sono estremamente pericolose per l’elevato livello di diffusione del browser Firefox. È fondamentale che gli utenti del popolare browser utilizzino l’ultima versione disponibile per prevenire brutte sorprese. È facile ipotizzare che una volta resi noti i dettagli della falla, diversi gruppi di attaccanti cominceranno ad utilizzarla per i propri attacchi, per questo motivo occorre non farsi cogliere impreparati.
