Mozilla ha rilasciato una nuova versione del suo browser. Firefox 67.0.3 per Windows, macOS e Linux corregge una vulnerabilità critica scoperta dai ricercatori dei team Google Project Zero e Coinbase Security. Dato che il bug è stato già sfruttato per eseguire attacchi contro target specifici, la fondazione consiglia agli utenti di installare l’aggiornamento nel minor tempo possibile.
La vulnerabilità, identificata come CVE-2019-11707, risiede nel metodo Array.pop degli oggetti JavaScript. Viene definita vulnerabilità “type confusion” perché Firefox alloca o inizializza l’oggetto usando un tipo e successivamente accede alla stessa risorsa usando un tipo incompatibile con quello originario. Un malintenzionato può sfruttare il bug quando l’utente visita una pagina web creata ad hoc che avvia l’esecuzione di codice arbitrario sul computer. Come sottolinea la CISA (Cybersecurity and Infrastructure Security Agency), la vulnerabilità permette di prendere il controllo del sistema.
Mozilla non ha fornito ulteriori dettagli. Il bug è stato segnalato dal team Coinbase Security, per cui si suppone che gli attacchi in corso siano indirizzati ai possessori di criptovalute. La procedura di aggiornamento è molto semplice. Se non viene mostrata una notifica è sufficiente cliccare il link “Informazioni su Firefox” nella sezione Aiuto. In alternativa è possibile scaricare la versione specifica per il sistema operativo dalla pagina ufficiale.
Le vulnerabilità zero-day sono piuttosto rare per Firefox. La più recente risale al 2016, quando Mozilla ha rilasciato la patch che impediva di scoprire informazioni sugli utenti del Tor Browser, basato su Firefox. Più frequenti invece le patch per Chrome, dato che il browser di Google è più popolare e pertanto attira maggiormente i malintenzionati.