Firefox 127 è stato rilasciato da Mozilla, patchando 15 vulnerabilità di sicurezza, alcune delle quali sono state classificate come di alto impatto. Questo aggiornamento è fondamentale per garantire che l’esperienza di navigazione degli utenti sia sicura.
Vulnerabilità di Alto Impatto
Le seguenti vulnerabilità sono state classificate come di alto impatto:
Incorrect Principal in Nuove Schede
CVE-2024-5687: Un principio errato potrebbe essere utilizzato quando si aprono nuove schede, il che potrebbe portare a controlli di sicurezza errati e a informazioni ingannevoli inviate a siti web remoti. Questo bug colpisce solo Firefox per Android.
Use-After-Free in JavaScript Object Transplant
CVE-2024-5688: Un use-after-free potrebbe verificarsi durante il trapianto di oggetti JavaScript se la raccolta dei rifiuti viene attivata correttamente. Questa vulnerabilità potrebbe consentire l’esecuzione di codice dannoso.
Vulnerabilità di Impatto Moderato
Le seguenti vulnerabilità sono state classificate come di impatto moderato:
Confusione Utente e Possibile Vettore di Phishing tramite Screenshot di Firefox
CVE-2024-5689: Un sito web potrebbe indirizzare gli utenti a una pagina di phishing utilizzando il pulsante “My Shots” che appare quando si prende uno screenshot. Questa vulnerabilità sfrutta la confusione degli utenti e potrebbe essere utilizzata per rubare informazioni personali.
Attacco di Timing per Rivelare Gestori di Protocollo Esterni
CVE-2024-5690: Un attaccante potrebbe indovinare quali gestori di protocolli esterni sono funzionali su un sistema utente monitorando il tempo che alcune operazioni richiedono. Questo attacco potrebbe essere utilizzato per violare la privacy degli utenti.
Sandboxed Iframes Bypassing Sandbox Restrictions
CVE-2024-5691: Un iframe sandboxato potrebbe bypassare le restrizioni della sandbox per aprire una nuova finestra. Questo bug potrebbe essere utilizzato per eludere le misure di sicurezza e attaccare i sistemi degli utenti.
Bypass delle Restrizioni del File Name Durante il Salvataggio
CVE-2024-5692: Un attaccante potrebbe ingannare il browser per salvare un file con un’estensione non ammessa su Windows. Questo bug potrebbe essere utilizzato per eseguire codice dannoso sui sistemi degli utenti.
Cross-Origin Image Leak via Offscreen Canvas
CVE-2024-5693: Offscreen Canvas non tracciava correttamente la tintura cross-origin, consentendo l’accesso ai dati delle immagini da un altro sito, violando la politica della stessa origine. Questa vulnerabilità potrebbe essere utilizzata per rubare informazioni personali.
Use-After-Free in JavaScript Strings
CVE-2024-5694: Un attaccante potrebbe causare un use-after-free nel motore JavaScript per leggere la memoria nella sezione dei caratteri del heap. Questa vulnerabilità potrebbe essere utilizzata per eseguire codice dannoso.
Corruzione della Memoria Utilizzando Allocazioni Sotto Condizioni di Memoria Insufficiente
CVE-2024-5695: Un attacco di out-of-memory durante l’allocazione potrebbe causare una corruzione della memoria, potenzialmente portando a un crash del browser. Questa vulnerabilità potrebbe essere utilizzata per eseguire codice dannoso.
Corruzione della Memoria nelle Frammentazioni di Testo
CVE-2024-5696: La manipolazione del testo in un tag di input potrebbe causare una corruzione della memoria, portando a un crash del browser. Questa vulnerabilità potrebbe essere utilizzata per eseguire codice dannoso.
Sito Web Capace di Rilevare Quando Firefox Prende uno Screenshot
CVE-2024-5697: Un sito web potrebbe rilevare quando un utente sta prendendo uno screenshot utilizzando la funzionalità integrata di Firefox Screenshot. Questa vulnerabilità potrebbe essere utilizzata per tracciare gli utenti.
Vulnerabilità di Basso Impatto
Le seguenti vulnerabilità sono state classificate come di basso impatto:
Data-List Capace di Sovrapporre la Barra degli Indirizzi
CVE-2024-5698: Manipolando la funzionalità a schermo intero mentre si apre una data-list, un attaccante potrebbe sovrapporre un campo di testo alla barra degli indirizzi, portando a confusione dell’utente e possibili attacchi di spoofing.
Prefissi dei Cookie Non Trattati come Case-Sensitive
CVE-2024-5699: I prefissi dei cookie, come __Secure, sono stati ignorati se non sono stati capitalizzati correttamente, violando la specifica che richiede il confronto insensibile al caso. Questa vulnerabilità potrebbe essere utilizzata per bypassare le misure di sicurezza dei cookie.
Mozilla ha rilasciato Firefox 127 per patchare 15 vulnerabilità di sicurezza, alcune delle quali sono state classificate come di alto impatto. Gli utenti sono invitati ad aggiornare il loro browser il prima possibile per proteggersi contro queste vulnerabilità.
Suggerimenti, Soluzioni, Consigli e Best Practice
- Mantenete il vostro browser aggiornato alle ultime versioni.
- Fate attenzione alle pagine web sospette che chiedono informazioni personali o richiedono l’esecuzione di script.
- Utilizzate estensioni di sicurezza affidabili per proteggere il vostro browser da vulnerabilità e minacce.
- Abilitate la funzione di blocco dei pop-up per evitare l’apertura di finestre pop-up indesiderate.
- Utilizzate la navigazione in incognito per proteggere la vostra privacy online.
- Fate attenzione alle pagine web che richiedono l’esecuzione di script o l’installazione di software.
- Utilizzate password uniche e sicure per ogni account online.
- Abilitate l’autenticazione a due fattori (2FA) quando possibile.
- Utilizzate una soluzione di sicurezza affidabile per proteggere il vostro sistema da malware e altre minacce.
- Fate regolarmente il backup dei vostri dati importanti.
