Anche in Aprile è arrivato l’aggiornamento del browser Firefox di Mozilla. La versione regolare di Firefox è ora 99.0, mentre la Extended Support Release, che ottiene correzioni di sicurezza senza aggiornamenti di funzionalità, è ora 91.8.0 ESR.
(91.8 ESR ha il set di funzionalità di Firefox 91.0, più gli stessi 8 set di patch di sicurezza quadrisettimanali che sono usciti nelle release complete intermedie, allineandolo così dal punto di vista della sicurezza alla versione (91+8).0, cioè 99.0).
Fortunatamente, come nell’aggiornamento di Google Android di aprile 2022, non ci sono state correzioni di sicurezza critiche e nessuna falla zero-day.
In particolare, anche se Mozilla ammette che alcuni dei bug di gestione della memoria che sono stati corretti in Firefox 99.0 potrebbero essere sfruttabili “con sufficiente sforzo“, nessun exploit funzionante è ancora noto.
E con nessun exploit noto a tutti, chiaramente non ci sono exploit noti che erano già in uso i Bad Guys, o zero-days come vengono chiamati in gergo.
Cosa fare?
Nonostante il rischio apparentemente basso di questo mese, tutte le falle di sicurezza portano con sé qualche pericolo, altrimenti non verrebbero assegnati i numeri di bug CVE ed elencati negli avvisi di sicurezza, quindi vi consigliamo di aggiornare il prima possibile.
Fai clic sul pulsante del menu (tre linee) in alto a destra della finestra di Firefox, poi clicca su Aiuto e seleziona Informazioni su Firefox. Se sei già aggiornato allora la finestra di dialogo te lo dirà, altrimenti recupererà l’ultima versione.
Se è necessario un aggiornamento, non bisogna dimenticare di cliccare su [Restart to update Firefox] per attivare la nuova versione. (In alternativa, chiudere semplicemente Firefox e lanciare di nuovo l’applicazione).
Due dei bug che Sophos ha trovato interessanti sono:
- CVE-2022-28283: Controlli di sicurezza mancanti per il fetching di sourceMapURL. Lo strumento SourceMap in Firefox non è destinato all’uso quotidiano è una caratteristica utile per gli sviluppatori che vogliono scavare nel codice sorgente JavaScript di una pagina web per vedere perché si comporta male. Molti programmi JavaScript inviati su internet sono deliberatamente inviati in forma non leggibile dall’uomo, a volte come un modo per renderli più difficili da capire, ma spesso semplicemente come un modo di schiacciarli per risparmiare spazio e tempo di download. SourceMap cerca di invertire questa offuscamento per rendere i bug e i problemi di rendering più facili da individuare. In questo caso, il JavaScript offuscato in una pagina web potrebbe essere stato messo in trappola in modo che uno sviluppatore che cerca di fare il debug possa inavvertitamente caricare contenuti privilegiati come il contenuto dei file locali. Ironicamente, questo potrebbe significare che qualcuno che aiuta indagando su un problema dall’aspetto innocente innescato dal sito web di qualcun altro (o da una pagina pubblicitaria iniettata) potrebbe finire per permettere agli script di quel sito web “rotto” di dare una sbirciata a dati locali e privati.
- CVE-2022-28286: I contenuti IFRAME potrebbero essere resi fuori dal confine. Questo è stato valutato “basso“, quindi presumiamo che sia improbabile che causi molti danni anche se qualcuno capisce come sfruttarlo su computer senza patch. Tuttavia, è un importante promemoria che il contesto è importante. Gli IFRAME, come suggerisce il nome, sono frame in linea che creano ciò che è essenzialmente una pagina all’interno di una pagina. Ovviamente, il contenuto della pagina interna non deve apparire al di fuori della finestra dell’IFRAME, o potrebbe oscurare informazioni importanti nella pagina che lo racchiude, come un avvertimento in grassetto che I DATI FINANZIARI DI SOTTO SONO INUTILI E NON SI DEVONO AFFIDARE, o una notifica legale che LA FINESTRA DI SOTTO È UN ANNUNCIO PAGATO. I cosiddetti “attacchi di spoofing” possono essere sorprendentemente utili ai truffatori informatici, in quanto rendono più facile per loro far passare un contenuto falso per quello vero, o per nascondere gli avvisi che altrimenti vi farebbero capire che state per essere truffati.
