Mozilla ha rilasciato una nuova versione di Firefox che risolve una vulnerabilità zero-day, che potrebbe consentire agli aggressori di assumere il pieno controllo dei computer degli utenti
In un report, Mozilla ha definito critica la vulnerabilità in questione e ha dichiarato di essere "consapevole degli attacchi mirati che abusano di questo difetto". La US Cybersecurity and Infrastructure Security Agency ha riferito che uno o più exploit sono stati "rilevati in natura" e ha avvertito che gli attacchi potrebbero essere sfruttati per "prendere il controllo di un sistema interessato".
Sono stati i ricercatori della cinese Qihoo 360 a segnalare il difetto, ma al momento né Mozilla, né Qihoo 360 hanno risposto alle e-mail che richiedevano ulteriori informazioni in merito al problema, di cui per ora non si hanno altri dettagli.
La vulnerabilità, indicizzata come CVE-2019-17026, è causata da un errore nella gestione della memoria (type confusion).
Il difetto è stato risolto nella versione di Firefox 72.0.1. La patch è arrivata un giorno dopo che questa versione aveva risolto altre 11 vulnerabilità, sei delle quali erano state classificate come "alte". Tre di questi sei bug potrebbero consentire agli aggressori di eseguire codice dannoso sui computer interessati.
La patch di CVE-2019-17026 arriva sette mesi dopo che Mozilla aveva corretto un paio di potenti zero-day, sfruttati dagli aggressori nel tentativo di installare una backdoor non rilevata sui Mac utilizzati dallo scambio di criptovaluta Coinbase.
