Categorie
Sicurezza Informatica

Mozilla risolve due Zero-Day di Firefox sfruttati a Pwn2Own

Tempo di lettura: < 1 minuto. Mozilla risolve rapidamente due vulnerabilità zero-day di Firefox sfruttate durante Pwn2Own 2024, rafforzando la sicurezza contro attacchi.

Mozilla Firefox
Mozilla Firefox
Tempo di lettura: < 1 minuto.

Mozilla ha rapidamente risposto alla scoperta di due vulnerabilità zero-day nel browser web Firefox, sfruttate durante la competizione di hacking Pwn2Own Vancouver 2024. Manfred Paul ha ottenuto un premio di $100,000 e 10 punti Master of Pwn per aver sfruttato con successo una vulnerabilità di scrittura fuori limiti (OOB) e una debolezza legata a una funzione pericolosa esposta, che gli hanno consentito di eseguire codice arbitrario ed evadere il sandbox di Firefox.

Dettagli delle Vulnerabilità

La prima vulnerabilità (CVE-2024-29944) permetteva l’esecuzione di codice JavaScript arbitrario attraverso i gestori di eventi, potenzialmente consentendo a un attaccante di eseguire codice a piacimento nel processo principale del browser Firefox per desktop. La seconda vulnerabilità (CVE-2024-29943) rendeva possibile l’accesso fuori limiti a un oggetto JavaScript, sfruttando l’eliminazione dei controlli di intervallo basati su gamma su sistemi vulnerabili.

Risposta rapida di Mozilla

Mozilla ha tempestivamente rilasciato aggiornamenti di sicurezza in Firefox 124.0.1 e Firefox ESR 115.9.1 per mitigare queste vulnerabilità, proteggendo gli utenti da possibili attacchi di esecuzione di codice remoto su dispositivi desktop non aggiornati. Queste correzioni sono state implementate appena un giorno dopo la segnalazione delle vulnerabilità da parte di Manfred Paul a Pwn2Own.

Contesto Pwn2Own

Pwn2Own Vancouver 2024 si è concluso il 22 marzo, leggi qui il report, con i ricercatori di sicurezza che hanno guadagnato $1,132,500 per 29 exploit e catene di exploit zero-day dimostrati nel corso dei due giorni di gara. Manfred Paul si è distinto vincendo l’edizione di quest’anno con 25 punti Master of Pwn e $202,500 in premi in denaro, dopo aver compromesso anche i browser web Apple Safari, Google Chrome e Microsoft Edge.

L’agilità di Mozilla nel rispondere a queste minacce evidenzia l’importanza della collaborazione tra la comunità di sicurezza e i produttori di software per mantenere gli ecosistemi digitali sicuri e protetti dalle minacce emergenti.

Di Livio Varriale

Giornalista e scrittore: le sue specializzazioni sono in Politica, Crimine Informatico, Comunicazione Istituzionale, Cultura e Trasformazione digitale. Autore del saggio sul Dark Web e il futuro della società digitale “La prigione dell’umanità” e di “Cultura digitale”. Appassionato di Osint e autore di diverse ricerche pubblicate da testate Nazionali. Attivista contro l’abuso dei minori, il suo motto è “Coerenza, Costanza, CoScienza”.

Pronto a supportare l'informazione libera?

Iscriviti alla nostra newsletter // Seguici gratuitamente su Google News
Exit mobile version