Martedì, Mozilla ha lanciato una nuova versione del tuo browser. Sapevamo che la nuova rata di Firefox arrivava con una sicurezza migliorata, poiché l'ETP (Enhanced Tracking Protection) includeva nuove funzioni attivate di default, ma non abbiamo guardato nella sezione che ne parla correzioni di sicurezza, in parte perché la maggior parte delle volte si parla di bug minori. Se abbiamo guardato è stato perché Canonical postato il proprio report che elenca diverse vulnerabilità CVE che Mozilla ha risolto Firefox 69.
Per essere più precisi, Firefox 69 risolte 17 vulnerabilità CVE, tutti di priorità media secondo Canonical, alcuni di alta priorità secondo Mozilla, come CVE-2019-11741 o CVE-2019-9812. Canonical dice che le versioni di Ubuntu 19.04, 18.04 LTS e 16.04 LTS sono compromesse, ma i difetti di sicurezza compaiono sulla pagina web di sicurezza di Mozilla, quindi penso di non sbagliarmi se dico che tutte le versioni di tutte sono sistemi operativi interessati, Linux o meno.
In Firefox sono state scoperte 17 vulnerabilità di media urgenza
- Difetti di sicurezza CVE-2019-5849, CVE-2019-11734, CVE-2019-11735, CVE-2019-11737, CVE-2019-11738, CVE-2019-11740, CVE-2019-11742, CVE-2019- 11743, CVE-2019-11744, CVE-2019-11746, CVE-2019-11748, CVE-2019-11749, CVE-2019-11750 e CVE-2019-11752 possono essere utilizzati se ci inducono ad aprire siti Web appositamente progettati, con così un utente malintenzionato potrebbe sfruttare questa azione per ottenere informazioni sensibili, aggirare le protezioni CSP, aggirare le restrizioni della stessa origine, eseguire attacchi XSS, causare denial of service (DoS) o eseguire codice arbitrario. Il pacchetto completo, dai.
- Il bug CVE-2019-9812 può essere utilizzato da un utente malintenzionato in combinazione con un'altra vulnerabilità per disabilitare la sandbox.
- La vulnerabilità CVE-2019-11741 consentirebbe a un utente malintenzionato, in combinazione con un'altra vulnerabilità, di lanciare attacchi XSS per modificare le impostazioni del browser.
- E il bug CVE-2019-11747 consentirebbe a un utente malintenzionato di aggirare le protezioni offerte da HSTS.
Per correggere tutti questi bug, la soluzione è semplice: apriamo il nostro centro software o l'applicazione Software Update della nostra distribuzione basata su Ubuntu e applichiamo gli aggiornamenti. Quello che ci interessa è "firefox - 69.0 + build2-0ubuntu0". + la versione del sistema operativo. Fallo adesso, per quello che potrebbe accadere.