Firefox, Chrome, Adobe e VMware: aggiornamenti critici per bloccare flaw di sicurezza con exploit pubblico
Se usi quotidianamente browser come Firefox o Chrome, o software aziendali di Adobe e VMware, devi agire immediatamente: sono stati rilasciati aggiornamenti di sicurezza fondamentali per proteggere i tuoi dispositivi. Mozilla ha corretto due flaw critici in Firefox per cui il codice di exploit è già pubblico, mentre Google, Adobe e Broadcom hanno patchato vulnerabilità in Chrome, ColdFusion e VMware. La soluzione più veloce e sicura è aggiornare subito tutti i software alle versioni più recenti per evitare che attacker malintenzionati sfruttino queste falle per accedere ai tuoi dati o eseguire codice arbitrario.
Nonostante non ci siano ancora segnalazioni di attacchi in corso che sfruttano specificamente queste vulnerabilità, la presenza di codice di exploit pubblico rende la situazione estremamente delicata. I esperti di sicurezza raccomandano un aggiornamento immediato, poiché gli threat actors sono noti per weaponizzare rapidamente le falle appena scoperte in prodotti di ampio utilizzo. Proteggere i tuoi sistemi oggi significa prevenire danni potenzialmente gravi domani.
Aggiornamenti di Mozilla per Firefox: due flaw critici con exploit pubblico
Mozilla ha rilasciato aggiornamenti per risolvere due vulnerabilità critiche in Firefox, avvisando che per una di esse il codice di exploit è già disponibile pubblicamente. Le vulnerabilità sono:
- CVE-2026-15718: puntatore invalido nel componente JavaScript: WebAssembly
- CVE-2026-15719: isolamento dei siti nel componente DOM: Navigation
Nel suo avviso, Mozilla ha dichiarato: “Siamo a conoscenza che il codice di exploit per questa vulnerabilità è pubblico, ma non siamo a conoscenza di attacchi in corso che sfruttano questa flaw”. Entrambe le vulnerabilità sono state risolte nella versione Firefox 152.0.6.
Questo rilascio si inserisce in un contesto più ampio di aggiornamenti di sicurezza, con Mozilla che ha già corretto molteplici vulnerabilità in precedenti versioni, incluse quattro con gravità critica e sette con gravità alta in Firefox e Firefox ESR.
Google Chrome: 15 flaw corretti, incluse due vulnerabilità use-after-free critiche
Google ha rilasciato fix per 15 vulnerabilità di sicurezza in Chrome, includendo due bug critici di tipo use-after-free nel componente Ozone (CVE-2026-15764 e CVE-2026-15765). Ozone è un layer di abstrazione cross-platform che permette al browser di interagire nativamente con diversi display servers e sistemi di windowing, supportando Linux, ChromeOS e Fuchsia.
La descrizione di CVE-2026-15764 nel database NIST National Vulnerability Database (NVD) spiega: “Use after free in Ozone in Google Chrome su Linux prima della versione 150.0.7871.125 ha permesso a un attaccante remoto, che abbia convinto un utente a eseguire gesti UI specifici, di potenzialmente sfruttare la corruzione dell’heap tramite una pagina HTML creata artificialmente”.
Le vulnerabilità sono state patchate nelle versioni:
- Chrome 150.0.7871.124/.125 per Windows e Mac
- Chrome 150.0.7871.124 per Linux
Questi aggiornamenti bloccano vettori di exploit nella VM JavaScript, nel sottosistema UI e nelle pipeline di download, proteggendo gli utenti da attacchi che potrebbero compromettere la memoria del browser e ottenere esecuzione di codice arbitrario.
Adobe: 88 vulnerabilità corretti, inclusi flaw critici in ColdFusion, Commerce e Experience Manager
Adobe ha pubblicato aggiornamenti di sicurezza per 88 vulnerabilità, includendo multiple flaw di severità critica in ColdFusion, Commerce, Experience Manager e Illustrator. Otto di queste vulnerabilità colpiscono specificamente Adobe ColdFusion:
- CVE-2026-48318 (CVSS 9.9): vulnerabilità di path traversal che può portare all’esecuzione di codice arbitrario
- CVE-2026-48322 (CVSS 9.6): vulnerabilità di code injection che può portare all’esecuzione di codice arbitrario
- CVE-2026-48284 (CVSS 9.6): validazione impropria dell’input che può portare all’esecuzione di codice arbitrario
- CVE-2026-48321 (CVSS 9.3): autorizzazione incorrecta che può portare a escalation dei privilegi
- CVE-2026-48325 (CVSS 9.3): mancanza di autenticazione per funzione critica che può portare all’esecuzione di codice arbitrario
- CVE-2026-48319 (CVSS 9.1): vulnerabilità di path traversal che può portare all’esecuzione di codice arbitrario
- CVE-2026-48324 (CVSS 9.1): vulnerabilità di SQL injection che può portare all’esecuzione di codice arbitrario
- CVE-2026-48327 (CVSS 9.0): autorizzazione incorrecta che può portare all’esecuzione di codice arbitrario
I flaw in ColdFusion sono stati remediati nelle versioni ColdFusion 2025 Update 11 e ColdFusion 2023 Update 22. Adobe ha anche corretto due flaw critici ciascuno in Adobe Commerce, Magento Open Source e Adobe Experience Manager:
- CVE-2026-48356 (CVSS 9.6): vulnerabilità di upload file in Adobe Commerce e Magento Open Source che può portare a escalation dei privilegi
- CVE-2026-48358 (CVSS 9.1): encoding o escaping improprio dell’output in Adobe Commerce e Magento Open Source che può portare all’esecuzione di codice arbitrario
- CVE-2026-48259 (CVSS 9.6): vulnerabilità di server-side request forgery in Adobe Experience Manager che può portare all’esecuzione di codice arbitrario
- CVE-2026-48359 (CVSS 9.6): restrizione impropria di riferimenti XML external entity in Adobe Experience Manager che può portare all’esecuzione di codice arbitrario
Broadcom: fix per vulnerabilità critica di bypass dell’autenticazione in VMware Avi Load Balancer
Broadcom ha rilasciato un fix per una vulnerabilità critica di bypass dell’autenticazione in VMware Avi Load Balancer (CVE-2026-47865, CVSS 9.8). Un utente malintenzionato con accesso alla rete può sfruttare questa flaw per accedere al piano di controllo Avi. Filip Waeytens del NATO Cyber Security Centre (NCSC) è stato riconosciuto per la scoperta e la segnalazione della vulnerabilità.
Perché è fondamentale aggiornare immediatamente
Sebbene nessuna di queste vulnerabilità sia attualmente segnalata come attivamente sfruttata, è essenziale che le organizzazioni installino gli ultimi aggiornamenti. Gli threat actors sono noti per weaponizzare rapidamente le falle in questi prodotti negli attacchi. La presenza di codice di exploit pubblico per le vulnerabilità di Firefox rende la situazione particolarmente critica, poiché gli attacker possono utilizzare immediatamente questi exploit per compromettere i sistemi non aggiornati.
Le soluzioni principali consistono nell’aggiornare urgentemente tutti i prodotti interessati alle nuove versioni rilasciate che correggono queste vulnerabilità. Questo approccio preventivo è la strategia più efficace per proteggere i dati sensibili, mantenere la integrità dei sistemi e prevenire potenziali violazioni di sicurezza.
Technical Deep Dive
Per gli utenti tecnici e gli professionisti della sicurezza, ecco un’analisi dettagliata delle vulnerabilità corregite:
Meccanismi di exploit e impatto sulla sicurezza
Le vulnerabilità use-after-free (UAF) rappresentano una categoria di bug di memoria particolarmente pericolosa. In un UAF, un programma tenta di accedere a un’area di memoria dopo che questa è stata liberata. Se il programma non cancella correttamente il puntatore a quella memoria liberata, gli attacker possono sfruttare l’errore per causare crash del sistema o eseguire codice arbitrario. Questo tipo di vulnerabilità è spesso utilizzato per creare chain di exploit che permettono la fuga dalla sandbox del browser.
Le vulnerabilità di path traversal permettono agli attacker di accedere a file o directory fuori dall’area prevista, potenzialmente leading all’esecuzione di codice arbitrario. Le vulnerabilità di SQL injection e code injection permettono l’inserimento di codice malevolo che viene eseguito dal server, con impatti che possono includere escalation dei privilegi, accesso a dati sensibili e compromissione completa del sistema.
Componenti specifici e architettura
Il componente Ozone in Chrome è un layer di abstrazione cross-platform fondamentale per l’interazione nativa del browser con diversi display servers. Le vulnerabilità in questo componente possono permettere attacchi remoti che sfruttano la corruzione dell’heap tramite pagine HTML create artificialmente, con potenziale impatto su Linux, ChromeOS e Fuchsia.
In WebAssembly, le vulnerabilità di puntatore invalido possono permettere agli attacker di accedere a memoria non prevista, potenzialmente leading all’esecuzione di codice arbitrario. Il componente DOM: Navigation gestisce l’isolamento dei siti, e le vulnerabilità in questo ambito possono compromettere la sicurezza dell’isolamento, permettendo accessi non autorizzati tra siti diversi.
CVSS scores e classificazione della severità
I CVSS scores indicati (da 9.0 a 9.9) classificano queste vulnerabilità come di severità critica, indicando un impatto potenziale estremamente elevato. Un CVSS score di 9.9, come per CVE-2026-48318, rappresenta una delle vulnerabilità più pericolose possibili, con probabilità molto alta di esecuzione di codice arbitrario e escalation dei privilegi.
Best practices per la mitigazione
Per gli ambienti enterprise, è raccomandato:
- Implementare processi di aggiornamento automatizzati per tutti i prodotti software
- Monitorare regolarmente i database di vulnerabilità (NVD, CVE) per nuove segnalazioni
- Utilizzare soluzioni di sicurezza che includono protezione contro exploit known e unknown
- Eseguire test di vulnerabilità regolari per identificare sistemi non aggiornati
- Implementare segmentation della rete per limitare l’impatto potenziale di eventuali exploit
La tempestività nell’applicazione degli aggiornamenti è il fattore critico più importante per la mitigazione efficace di queste vulnerabilità, specialmente quando il codice di exploit è già pubblico.
Fonte: https://thehackernews.com/2026/07/firefox-chrome-adobe-and-vmware-updates.html





