9 gennaio 2020 – CVE-2019-17026 – MFSA 2020-03
ALLARME 0DAY!
Firefox ha rilasciato una patch 0day per risolvere una criticità che è stata scoperta e sfruttata attivamente da un attaccante per prendere il controllo del computer dell’utente.
E’ necessario verificare che la vostra versione di Firefox sia “Firefox 72.0.1” o “Firefox ESR 68.4.1” (o successive) in cui sono state risolte le vulnerabilità
La vulnerabilità è codificata come CVE-2019-17026:
IonMonkey type confusion with StoreElementHole and FallibleStoreElement
Si tratta di un attacco basato su “Type confusion vulnerability“.
Questo tipo di attacchi è basato sulla modalità con cui il sistema JAVA gestisce gli oggetti, ossia come blocchi di memoria.
La memoria allocata contiene dei campi dati di tutti gli oggetti, elencati uno dopo l’altro. Quando un programma Java referenzia un oggetto, in realtà non fa altro che prendere un pointer ad una porzione di memoria dove un oggetto è memorizzato. Il pointer dovrebbe essere taggato con il TYPE che identifica la tipologia di oggetto a cui punta.
La vulnerabilità risiede in IonMonkey, il compilatore JavaScript Just-In-Time (JIT) per SpiderMonkey, che è il motore JavaScript di Mozilla. In dettaglio, tutto nasce a causa di errate informazioni di ALIAS che vengono settate negli elementi di array da StoreElementHole e FallibleStoreElement.
Non è la prima volta che Mozilla scivola su questa tipologia di vulnerabilità, lo scorso giugno si era imbattuta in un problema legato alla stessa tipologia di attacco (CVE-11707).
La vulnerabilità è stata rilevata dai ricercatori della società cinese di sicurezza informatica Qihoo 360 Technology Co. Ltd.
I consulenti di Mozilla hanno dichiarato che sono stati allertati in merito ad attacchi rivolti all’abuso di questa vulnerabilità e che la vulnerabilità viene attivamente sfruttata dagli attaccanti. Non è stata comunque diffusa la procedura con cui sfruttare questa vulnerabilità per non alimentare ulteriormente il rischio di attacchi.
Firefox detiene il 4,5% del mercato dei browser, questo significa che un utente ogni 20 utilizza Firefox.
Il maggiore pericolo risiede nel fatto che l’utente medio NON AGGIORNA LE APPLICAZIONI e quindi si ritrova programmi datati che lo espongono a gravi pericoli.
L’aggiornamento è quindi URGENTE e TASSATIVO, ma purtroppo la maggior parte degli utenti non sarà a conoscenza di questo problema e quindi continuerà ad essere esposta al pericolo.