Mozilla rilascia la versione 71 di Firefox e corregge varie vulnerabilità

05/12/2019

CVE-2019-11745 CVE-2019-11756 CVE-2019-13722 CVE-2019-17005 CVE-2019-17008 CVE-2019-17009 CVE-2019-17010 CVE-2019-17011 CVE-2019-17012 CVE-2019-17013 CVE-2019-17014 firefox rce Vulnerabilità

Nei giorni scorsi Mozilla ha rilasciato la versione 71 di Firefox e ha corretto diverse vulnerabilità, 6 delle quali High Level. Le versioni interessate sono quelle precedenti alla 71 e la Firefox ESR 68.3.

Le vulnerabilità riscontrate consentirebbero a un utente malintenzionato di bypassare le restrizioni di sicurezza, consentire l’esecuzione di codice arbitrario e carpire informazioni sensibili. A seconda dei privilegi associati all’utente, un utente malintenzionato potrebbe quindi installare programmi, visualizzare, modificare o eliminare i dati, o creare nuovi account con diritti utente completi. 

Di seguito si elencano le vulnerabilità corrette:

  • CVE-2019-11745: Out of bounds write in NSS when encrypting with a block cipher:  la vulnerabilità potrebbe causare la corruzione dell’heap e un arresto potenzialmente sfruttabile;
  • CVE-2019-11756: Use-after-free of SFTKSession object: comporta un arresto anomalo;
  • CVE-2019-13722: Stack corruption due to incorrect number of arguments in WebRTC code: causa il danneggiamento dello stack e un arresto potenzialmente sfruttabile.
  • CVE-2019-17005: Buffer overflow in plain text serializer: comporta un danneggiamento della memoria e un arresto sfruttabile;
  • CVE-2019-17008: Use-after-free in worker destruction;
  • CVE-2019-17009: Updater temporary files accessible to unprivileged processes;
  • CVE-2019-17010: Use-after-free when performing device orientation checks;
  • CVE-2019-17011: Use-after-free when retrieving a document in antitracking;
  • CVE-2019-17012: Bug di sicurezza della memoria corretti;
  • CVE-2019-17013: Bug di sicurezza della memoria corretti;
  • CVE-2019-17014: Dragging and dropping a cross-origin resource, incorrectly loaded as an image, could result in information disclosure;

Oltre a correggere le vulnerabilità sopra elencate, la nuova versione include dei miglioramenti al gestore password Lockwise.

Conclusioni

I dettagli delle vulnerabilità sanate sono presenti nel Security Advisory 2019-36 e 2019-37 di Firefox Mozilla. Il Cert-PA raccomanda al fine di ridurre possibili rischi di sicurezza di aggiornare Firefox attraverso i canali di distribuzione ufficiali Mozilla.