Le vecchie versioni di Mozilla Firefox sono vulnerabili agli attacchi del cyber crime. È quanto hanno scoperto gli esperti di cyber security del CERT-PA, monitorando le fonti aperte. Due le vulnerabilità presenti nel browser:
- CVE-2019-9810: Informazioni alias errate nel compilatore JIT IonMonkey per il metodo Array.prototype.slice possono portare a un controllo dei limiti mancante e a un overflow del buffer.
- CVE-2019-11708: Il controllo insufficiente dei parametri passati con il messaggio “Prompt: Apri messaggio IPC” tra processi parent e child può comportare che il processo parent apra il contenuto Web passato da un processo child compromesso. Se combinato con ulteriori vulnerabilità, ciò potrebbe comportare l’esecuzione di codice arbitrario sul computer dell’utente.
Gli esperti di cyber security spiegano che il bug su Firefox consente di ricavare un limite di controllo ridondante e ottimizzato per consentire al codice di generare un out-of-bounds della memoria. L’exploit utilizza CVE-2019-9810 per eseguire la compromissione dei dati e aggiorna la pagina corrente. Una volta che è in grado di eseguire JS con privilegi amministrativi, trova il message-manager del frame corrente e attiva il CVE-2019-11708. Ora che il processo parent ha visitato la pagina arbitraria, viene sfruttata di nuovo CVE-2019-9810 per ottenere l’esecuzione JavaScript con privilegi superiori. A questo punto l’intero browser (sandbox inclusa) è compromesso. Mozilla ha risolto il problema con la versione 71 appena rilasciata, che ha corretto diverse vulnerabilità, dio cui sei sono di livello elevato. Si raccomanda perciò di aggiornare subito il browser.