Italiano
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
Patch alto per firefox 116
Firefox 116 è stato rilasciato con patch per 14 CVE, incluse nove vulnerabilità di elevata gravità, alcune delle quali possono portare all'esecuzione di codice in modalità remota o alla fuga dalla sandbox.
Di
Mozilla martedì ha annunciato il rilascio di Firefox 116, Firefox ESR 115.1 e Firefox ESR 102.14, che includono patch per molteplici vulnerabilità di elevata gravità.
Il produttore del browser elenca un totale di 14 CVE nel suo avviso, nove dei quali sono classificati come "ad alta gravità". Tre dei CVE si riferiscono a bug di sicurezza della memoria in Firefox.
Il primo dei difetti di elevata gravità, tracciato come CVE-2023-4045, è descritto come un bypass delle restrizioni di origine incrociata in Offscreen Canvas, che non è riuscito a monitorare correttamente la contaminazione di origine incrociata.
Il problema può consentire alle pagine web di visualizzare immagini visualizzate in una pagina di un sito diverso, osserva Sophos in un'analisi dell'aggiornamento. I browser includono una politica della stessa origine che impedisce al codice HTML e JavaScript originario di un sito Web di accedere al contenuto di altri siti.
Il secondo problema di elevata gravità patchato da Firefox 116 è CVE-2023-4046, descritto come l'utilizzo di un valore errato durante la compilazione WASM.
“In alcune circostanze, un valore obsoleto avrebbe potuto essere utilizzato per una variabile globale nell’analisi JIT WASM. Ciò ha comportato una compilazione errata e un arresto anomalo potenzialmente sfruttabile nel processo di contenuto", osserva Mozilla.
L'aggiornamento del browser risolve anche CVE-2023-4047, una richiesta di autorizzazione bypassata tramite clickjacking. Una pagina potrebbe indurre gli utenti a fare clic su un elemento posizionato con cura, registrando invece l'input come un clic su una finestra di dialogo di sicurezza che non è stata visualizzata all'utente.
"Le autorizzazioni potenzialmente rischiose, come l'accesso alla propria posizione, l'invio di notifiche, l'attivazione del microfono e così via, non dovrebbero essere concesse finché non si è visto e agito in base a un chiaro avviso proveniente dal browser stesso", osserva Sophos.
Le altre tre vulnerabilità di elevata gravità risolte da Firefox 116 includono CVE-2023-4048 (un difetto di lettura fuori limite che causa l'arresto anomalo di DOMParser durante la decostruzione di un file HTML predisposto), CVE-2023-4049 (condizioni di competizione che portano a vulnerabilità potenzialmente sfruttabili vulnerabilità use-after-free) e CVE-2023-4050 (overflow del buffer dello stack in StorageManager che potrebbe portare a una fuga dalla sandbox).
Tracciati come CVE-2023-4056, CVE-2023-4057 e CVE-2023-4058, i bug di sicurezza della memoria risolti in Firefox 116 avrebbero potuto portare all'esecuzione di codice arbitrario.
La maggior parte di questi problemi di elevata gravità, afferma Mozilla, influiscono anche sul supporto esteso di Firefox e Thunderbird e sono stati risolti in Firefox ESR 115.1, Firefox ESR 102.14, Thunderbird 115.1 e Thunderbird 102.14.
Mozilla non menziona alcuna di queste vulnerabilità sfruttate negli attacchi.
Imparentato:Firefox 115 corregge le vulnerabilità Use-After-Free di elevata gravità
Imparentato:Mozilla corregge vulnerabilità di elevata gravità con il rilascio di Firefox 111
Imparentato:Firefox aggiorna la patch 10 delle vulnerabilità di gravità elevata
Ionut Arghire è un corrispondente internazionale di SecurityWeek.
Iscriviti al briefing via e-mail di SecurityWeek per rimanere informato sulle ultime minacce, tendenze e tecnologie, insieme a colonne approfondite di esperti del settore.
Unisciti agli esperti di sicurezza mentre discutono del potenziale non sfruttato di ZTNA sia per ridurre il rischio informatico che per potenziare l'azienda.
Unisciti a Microsoft e Finite State per un webinar che introdurrà una nuova strategia per proteggere la catena di fornitura del software.
Pensare al buono, al brutto e al cattivo ora è un processo che ci offre "un focus negativo per sopravvivere, ma uno positivo per prosperare." (Marc Solomon)
La condivisione delle informazioni sulle minacce e la collaborazione con altri gruppi di intelligence sulle minacce aiuta a rafforzare la tutela dei clienti e aumenta l'efficacia del settore della sicurezza informatica nel suo complesso.(Derek Manky)