Ieri uno dei nostri colleghi segnalato alcuni bug trovati che interessano tutte le versioni di Firefox perché una vulnerabilità zero day è stata scoperta nel browser ed è attivamente sfruttato in attacchi mirati. La violazione della sicurezza è stata rivelata tramite Project Zero di Google e interessa tutte le versioni di Firefox.
Ora, il giorno dopo, Mozilla chiede di nuovo a tutti gli utenti del browser di eseguire nuovamente l'aggiornamento a una nuova versione superiore che è già stata rilasciata, questa con il motivo per cui nel browser è stata scoperta una seconda vulnerabilità zero day.
Un secondo bug zero day in Firefox
Mozilla ha rilasciato Firefox 67.0.4 per correggere una vulnerabilità sicurezza che è stata utilizzata in attacchi mirati contro società di criptovaluta come Coinbase. Gli utenti di Firefox dovrebbero installare immediatamente questo aggiornamento.
Situato dietro Firefox 67.0.3 e 60.7.1, Sono state rilasciate versioni correttive aggiuntive 67.0.4 e 60.7.2, eliminando la seconda vulnerabilità zero day (CVE-2019-11708), che consente di aggirare il meccanismo di isolamento sandbox del browser.
Il problema consente di utilizzare la richiesta di comando per aprire la manipolazione delle chiamate IPC per aprire il contenuto Web in un processo figlio che non utilizza una sandbox.
Combinato con un'altra vulnerabilità, questo problema consente di aggirare tutti i livelli di protezione e organizzare l'esecuzione del codice nel sistema.
Prima di essere riparato, le vulnerabilità identificate nelle ultime due versioni di Firefox Sono stati utilizzati per organizzare un attacco contro i dipendenti dell'exchange di criptovalute Coinbase e sono stati utilizzati anche per diffondere malware per la piattaforma macOS.
Una verifica insufficiente dei parametri passati con il Prompt: il messaggio IPC aperto tra i processi figlio e padre può far sì che il processo padre non in modalità sandbox apra il contenuto Web scelto da un processo figlio compromesso. Se combinato con ulteriori vulnerabilità, ciò potrebbe comportare l'esecuzione di codice arbitrario sul computer dell'utente.
Questa settimana Mozilla ha rilasciato Firefox 67.0.3 per correggere una vulnerabilità critica di esecuzione di codice in modalità remota che veniva utilizzata in attacchi mirati.
Dal suo rilascio, è stato scoperto che la vulnerabilità e un altro sconosciuto sono stati concatenati insieme come parte di un attacco di spoofing per rimuovere ed eseguire payload dannosi sui computer della vittima.
Si sostiene che Le informazioni sulla prima vulnerabilità sono state inviate a Mozilla da un partecipante a Google Project Zero il 15 aprile e risolto il 10 giugno nella versione beta di Firefox 68 (gli aggressori probabilmente hanno analizzato la soluzione pubblicata e preparato l'exploit utilizzando un'altra vulnerabilità per evitare l'isolamento sandbox).
Come aggiornare il browser Firefox su Linux?
Per aggiornare le nuove versioni correttive del browser a questa e persino installarla se non ce l'hai, puoi farlo seguendo le istruzioni che condividiamo di seguito.
Utenti di Ubuntu, Linux Mint o qualche altro derivato di Ubuntu, Possono installare o aggiornare a questa nuova versione con l'aiuto del PPA del browser.
Questo può essere aggiunto al sistema aprendo un terminale ed eseguendo il seguente comando al suo interno:
sudo add-apt-repository ppa:ubuntu-mozilla-security/ppa -y sudo apt-get update
Fatto questo ora devono solo installare con:
sudo apt install firefox
a tutte le altre distribuzioni Linux possono scaricare i pacchetti binari da il seguente collegamento.
Oppure controlla se la nuova versione è già stata incorporata nei repository della tua distribuzione.
Un altro modo per aggiornare il browser L'ultima versione è aprendo il browser, qui gli utenti possono cercare manualmente i nuovi aggiornamenti nel menu Firefox -> Aiuto -> Informazioni su Firefox. Firefox verificherà automaticamente la presenza di un nuovo aggiornamento e lo installerà.
anche È prevista la correzione di bug di Firefox per il secondo guasto zero day scoperto ha colpito il browser Tor nei prossimi giorni.
Da oggi, il team di Tor Browser è stato aggiornato alla versione 8.5.2, che include la correzione per il primo errore zero day rilevato nel ramo di Firefox.