Mozilla ha rapidamente risposto alla scoperta di due vulnerabilità zero-day nel browser web Firefox, sfruttate durante la competizione di hacking Pwn2Own Vancouver 2024. Manfred Paul ha ottenuto un premio di $100,000 e 10 punti Master of Pwn per aver sfruttato con successo una vulnerabilità di scrittura fuori limiti (OOB) e una debolezza legata a una funzione pericolosa esposta, che gli hanno consentito di eseguire codice arbitrario ed evadere il sandbox di Firefox.
Dettagli delle Vulnerabilità
La prima vulnerabilità (CVE-2024-29944) permetteva l’esecuzione di codice JavaScript arbitrario attraverso i gestori di eventi, potenzialmente consentendo a un attaccante di eseguire codice a piacimento nel processo principale del browser Firefox per desktop. La seconda vulnerabilità (CVE-2024-29943) rendeva possibile l’accesso fuori limiti a un oggetto JavaScript, sfruttando l’eliminazione dei controlli di intervallo basati su gamma su sistemi vulnerabili.
Risposta rapida di Mozilla
Mozilla ha tempestivamente rilasciato aggiornamenti di sicurezza in Firefox 124.0.1 e Firefox ESR 115.9.1 per mitigare queste vulnerabilità, proteggendo gli utenti da possibili attacchi di esecuzione di codice remoto su dispositivi desktop non aggiornati. Queste correzioni sono state implementate appena un giorno dopo la segnalazione delle vulnerabilità da parte di Manfred Paul a Pwn2Own.
Contesto Pwn2Own
Pwn2Own Vancouver 2024 si è concluso il 22 marzo, leggi qui il report, con i ricercatori di sicurezza che hanno guadagnato $1,132,500 per 29 exploit e catene di exploit zero-day dimostrati nel corso dei due giorni di gara. Manfred Paul si è distinto vincendo l’edizione di quest’anno con 25 punti Master of Pwn e $202,500 in premi in denaro, dopo aver compromesso anche i browser web Apple Safari, Google Chrome e Microsoft Edge.
L’agilità di Mozilla nel rispondere a queste minacce evidenzia l’importanza della collaborazione tra la comunità di sicurezza e i produttori di software per mantenere gli ecosistemi digitali sicuri e protetti dalle minacce emergenti.