Mozilla chiude la falla zero-day in Firefox

Mozilla ha rilasciato una nuova versione del browser che risolve la vulnerabilità zero-day scoperta ieri. L’aggiornamento a Firefox 50.0.2 verrà effettuato automaticamente nelle prossime 24 ore, ma gli utenti che hanno disattivato l’opzione nelle impostazioni possono scaricare il browser dal sito ufficiale. Anche Tor Project ha distribuito un update per il Tor Browser, bersaglio principale dell’exploit che circola in Rete.

Dato che il codice dell’exploit è stato pubblicato sulla mailing list del Tor Project, chiunque può inserirlo all’interno di una pagina web e scoprire l’indirizzo IP che dovrebbe essere nascosto dalla rete Tor. In effetti, la vulnerabilità è stata già sfruttata per individuare gli utenti che hanno visitato un sito contenente materiale pedopornografico. L’amministratore ha chiuso il sito principale, ma ha lasciato online il sito di chat. È probabile che l’attacco sia stato effettuato dall’FBI, ma non ci sono conferme in tal senso. Un simile exploit potrebbe essere utilizzato per colpire siti leciti, come quelli frequentati da dissidenti politici.

Un utente di Bugzilla afferma che il bug è presente nel codice di Firefox da almeno 5 anni, quindi non solo dalla versione 41, come ipotizzato in precedenza. Mozilla spiega che la vulnerabilità zero-day viene sfruttata per eseguire codice arbitrario sul sistema target, quando l’utente apre una pagina contenente codice JavaScript e SVG con Firefox o Tor Browser. Un malintenzionato può quindi scoprire gli indirizzi IP e MAC che verranno poi inviati ad un server remoto. Il payload dell’exploit funziona solo su Windows, ma il bug è presente anche su Linux e macOS.

La nuova versione 6.0.7 del Tor Browser include Firefox 45.5.1 ESR e NoScript 2.9.5.2, un’estensione che permette di scegliere quali siti possono eseguire codice JavaScript nel browser.