Negli ultimi giorni, Mozilla ha rilasciato un aggiornamento d’emergenza per Firefox dopo la scoperta di due gravi vulnerabilità di tipo zero-day. Questi difetti nel motore JavaScript del browser rappresentano una minaccia concreta sia per utenti privati che per organizzazioni: consentono infatti ad attaccanti remoti di eseguire codice arbitrario e, potenzialmente, prendere il controllo del sistema. L’urgenza con cui Mozilla ha reagito, a poche ore dalla scoperta durante il contest Pwn2Own Berlin 2025, sottolinea la serietà della situazione.
In questo approfondimento analizzeremo nel dettaglio le vulnerabilità, i rischi connessi, le modalità di attacco e forniremo una serie di suggerimenti pratici su come difendersi sia in ambito domestico che aziendale.
Cosa sono le vulnerabilità zero-day?
Le vulnerabilità zero-day sono falle di sicurezza sconosciute agli sviluppatori del software al momento della loro scoperta ‒ spesso già attivamente sfruttate dagli attaccanti, proprio perché non esistono patch disponibili. Queste falle sono particolarmente pericolose perché lasciano gli utenti privi di difese fino all’emissione di una correzione.
Dettaglio delle vulnerabilità scoperte
CVE-2025-4918: Out-of-Bounds in JavaScript Promise
La prima vulnerabilità, identificata come CVE-2025-4918, riguarda la gestione degli oggetti JavaScript Promise nel browser. Un attaccante può sfruttare questa falla inducendo l’utente a visitare una pagina web appositamente costruita. Una volta attivata, la vulnerabilità consente di leggere o scrivere dati fuori dai limiti previsti dalla memoria, aprendo la porta all’esecuzione di codice non autorizzato.
CVE-2025-4919: Manipolazione degli indici negli array JavaScript
La seconda vulnerabilità, CVE-2025-4919, è simile ma sfrutta un errore nel trattamento delle dimensioni degli indici degli array JavaScript. In presenza di manipolazioni ad hoc, è possibile confondere il browser e costringerlo a leggere o scrivere dati in aree di memoria non previste.
Entrambe le vulnerabilità consentono all’attaccante di prendere il controllo del sistema della vittima con pochi clic, senza richiedere un’interazione complessa da parte dell’utente.
Come avvengono gli attacchi
Questi exploit richiedono che la vittima visiti un sito malevolo o clicchi su un link contaminato (ad esempio tramite email di phishing). In alcuni casi, l’attacco può essere portato a termine anche attraverso siti web compromessi o pubblicità malevole inserite in portali legittimi. Una volta attivata la falla, l’attaccante può assumere il controllo dell’esecuzione di codice sulla macchina.
Chi è stato colpito e come è stata scoperta la falla
Le vulnerabilità sono state scoperte in occasione del contest internazionale Pwn2Own Berlin 2025, dove esperti e ricercatori di sicurezza “white hat” dimostrano le loro scoperte davanti agli stessi sviluppatori dei software coinvolti. Subito dopo la dimostrazione pratica dell’exploit, Mozilla ha emesso un aggiornamento d’emergenza, raccomandando installazione immediata a tutti gli utenti di Firefox.
Versioni di Firefox interessate
Le versioni vulnerabili comprendono molteplici edizioni di Firefox, sia per utenti privati che per aziende. Tra le versioni patchate figurano:
- Firefox 138.0.4 e superiori
- Firefox ESR (Extended Support Release)
- Tor Browser su base Firefox (versione 14.0.8)
È fondamentale aggiornare all’ultima versione appena possibile.
I rischi per utenti e aziende
L’esecuzione di codice arbitrario tramite il browser rappresenta uno degli scenari più gravi dal punto di vista della sicurezza informatica. Un attaccante potrebbe:
- Installare malware o ransomware
- Accedere ed esfiltrare dati sensibili, come password e cookie di sessione
- Prendere controllo remoto del sistema
- Espandere l’attacco ad altri dispositivi sulla rete aziendale o domestica
Per le aziende, i rischi sono ampliati dalla presenza di informazioni riservate, credenziali di accesso condivise e dall’esposizione potenziale di dati personali di dipendenti e clienti.
Suggerimenti e consigli per proteggersi
1. Aggiornare immediatamente Firefox
Il primo passo fondamentale è verificare la versione attuale di Firefox e aggiornarla subito all’ultima release disponibile. Mozilla distribuisce gli aggiornamenti sia tramite il browser che tramite i gestori di pacchetti dei principali sistemi operativi.
Per aggiornare Firefox su desktop:
- Apri il menu di Firefox (tre linee orizzontali in alto a destra)
- Seleziona “Aiuto” > “Informazioni su Firefox”
- Se sono disponibili aggiornamenti, verranno scaricati e installati automaticamente. Riavvia Firefox alla fine del processo.
2. Attivare gli aggiornamenti automatici
Assicurati che la funzione di aggiornamento automatico sia attiva nelle impostazioni di Firefox. Così facendo, il browser si aggiorna da solo appena disponibili nuove patch.
3. Prestare attenzione ai link e alle email sospette
Molti attacchi si basano sul phishing o sull’ingegneria sociale. Non cliccare su link sospetti ricevuti da fonti sconosciute. Fai attenzione anche agli allegati e ai messaggi che richiedono azioni urgenti (“Il tuo account è a rischio!”).
4. Utilizzare soluzioni di sicurezza affidabili
Un buon antivirus aggiornato può intercettare eventuali tentativi di sfruttamento della vulnerabilità. Molti software di sicurezza dispongono di protezioni specifiche per i browser.
5. Limitare i plug-in e le estensioni
Alcune estensioni potrebbero essere sfruttate dagli attaccanti come tramite per lanciare exploit. Installa solo estensioni ufficiali e verifica periodicamente la lista delle estensioni attive.
6. Per le aziende: gestire centralmente gli aggiornamenti
Gli amministratori IT dovrebbero predisporre sistemi di aggiornamento centralizzato per tutti i browser Firefox in uso, assicurandosi che ogni postazione sia protetta.
7. Monitoraggio dei log e delle attività anomale
Abilita il logging delle attività sospette e monitora eventuali anomalie, soprattutto nei casi di accessi multipli e contemporanei, movimenti insoliti di dati o comportamenti anomali delle applicazioni web.
8. Backup regolari
Effettua backup regolari dei tuoi dati. In caso di compromissione, un backup aggiornato può essere la tua migliore difesa contro la perdita di dati o la cifratura ransomware.
Le vulnerabilità zero-day rappresentano una seria minaccia per chiunque utilizzi strumenti digitali connessi a Internet. L’elevata rapidità con cui Mozilla ha risposto dimostra l’efficacia della collaborazione tra ricercatori di sicurezza e sviluppatori. Tuttavia, la sicurezza finale dipende anche dagli utenti: solo mantenendo aggiornati i propri dispositivi e adottando comportamenti prudenti è possibile ridurre i rischi.
Invitiamo tutti gli utenti di Firefox, privati e aziende, ad aggiornare immediatamente il browser e a diffondere la notizia tra colleghi e familiari. La prevenzione resta sempre la migliore difesa nel mondo della sicurezza informatica.
Rimani sempre aggiornato sulle ultime notizie di sicurezza e, se gestisci infrastrutture aziendali, valuta l’adozione di strumenti avanzati di monitoraggio e risposta agli incidenti. La consapevolezza e la prontezza sono le armi principali contro le minacce informatiche.
Fonte: https://lifehacker.com/tech/mozilla-just-patched-two-firefox-zero-days?utm_medium=RS
