Mozilla e Google rilasciano nuovi aggiornamenti e coreggono diverse vulnerabilità nei rispettivi browser

09/01/2020

Chrome CVE 2019-17015 CVE 2019-17016 CVE 2019-17017 CVE-2019-11707 CVE-2019-17018 CVE-2019-17019: CVE-2019-17021 CVE-2019-17022 CVE-2019-17023 CVE-2019-17024 CVE-2019-17025 firefox Vulnerabilità

 

Nei giorni scorsi Mozilla e Google hanno provveduto all’aggiornamento di sicurezza dei rispettivi browser (Firefox e Chrome), rilasciando rispettivamente le versioni 72.0.1 e 79.0.3945.117.

Mozilla Firefox

Nella giornata di ieri Mozilla ha rilasciato la versione 72.0.1 per correggere una nuova vulnerabilità che potrebbe potenzialmente consentire a un utente malintenzionato di eseguire codice o innescare arresti anomali su macchine che eseguono versioni vulnerabili di Firefox.  La vulnerabilità tracciata con CVE-2019-11707  influisce sul compilatore IonMonkey Just-In-Time (JIT) del browser Web.

Nei giorni scorsi Mozilla aveva rilasciato la versione 72.0, quest’ultima includeva la correzione di undici diverse vulnerabilità, cinque delle quali “High Level”.  Nel dettaglio le correzioni riguardavano le seguenti vulnerabilità:

CVE 2019-17015: (High). Memory corruption in parent process during new content process initialization on Windows. La vulnerabilità potrebbe provocare arresti anomali e associare ad essi ulteriori exploit, il bug interessa solo il sistema operativo Windows.

CVE 2019-17016: (High). Bypass of @namespace CSS sanitization during pasting.  Ciò potrebbe consentire l’iniezione in determinati tipi di siti Web con conseguente esfiltrazione dei dati.

CVE 2019-17017.(High). Type Confusion in XPCVariant.cpp

CVE-2019-17018: (Moderate). Windows Keyboard in Private Browsing Mode may retain word suggestions.In modalità Navigazione privata su Windows 10, la tastiera di Windows può conservare suggerimenti di parole per migliorare l’accuratezza della tastiera.

CVE-2019-17019: (Moderate). Python files could be inadvertently executed upon opening a download. I file Python potrebbero essere eseguiti inavvertitamente all’apertura di un download.

CVE-2019-17019: (Moderate). Content Security Policy not applied to XSL stylesheets applied to XML documents;

CVE-2019-17021: (Moderate). Heap address disclosure in parent process during content process initialization on Windows;

CVE-2019-17022: (Moderate). CSS sanitization does not escape HTML tags;

CVE-2019-17023: (Moderate). NSS may negotiate TLS 1.2 or below after a TLS 1.3 HelloRetryRequest had been sent;

CVE-2019-17024: (High) Memory safety bugs fixed in Firefox 72 and Firefox ESR 68.4;

CVE-2019-17025: (High) Memory safety bugs fixed in Firefox 72.

La nuova versione conteneva inoltre dei miglioramenti riguardanti la privacy degli utenti, Mozilla infatti ha attivato per default il blocco dei fingerprinter.

Oltre all’aggiornamento di Firefox, Mozilla ha aggiornato anche ESR con la versione 68.4.1, includendo anche in questa versione ulteriori correzioni di sicurezza. Il prossimo aggiornamento di Mozilla Firefox 73.0 è previsto per febbraio 2020.

Google Chrome

Anche Google ha rilasciato aggiornamenti di sicurezza per Chrome, la versione 79.0.3945.117 per Windows, Mac e Linux. Questa versione risolve una vulnerabilità che potrebbe essere sfruttata da un utente malintenzioanto di assumere il controllo di un sistema interessato. La nuova versione di Chrome puòessere scaricata dalla home page del browser.

 

Conclusioni

Il Cert-PA raccomanda di aggiornare Firefox e Chrome attraverso i canali di distribuzione ufficiali al fine di ridurre possibili rischi di sicurezza.