Firefox 111 corregge 11 buchi, ma non 1 zero-day tra di loro...

Hai sentito parlare di cricket (lo sport, non l'insetto)?

È molto simile al baseball, tranne per il fatto che i battitori possono colpire la palla dove vogliono, anche all'indietro o di lato; i giocatori di bowling possono colpire di proposito il battitore con la palla (entro certi limiti di sicurezza, ovviamente - altrimenti non sarebbe cricket) senza dare il via a una rissa all-in di 20 minuti; c'è quasi sempre una pausa a metà pomeriggio per il tè e la torta; e puoi segnare sei punti alla volta fintanto che colpisci la palla abbastanza in alto e lontano (sette se anche il giocatore di bocce commette un errore).

Beh, come sanno gli appassionati di cricket, 111 corse sono un punteggio superstizioso, considerato da molti di cattivo auspicio – l'equivalente del giocatore di cricket di Macbeth ad un attore.

È noto come a Nelson, anche se in realtà nessuno sembra sapere perché.

Oggi quindi vede il rilascio di Nelson di Firefox, con la versione 111.0 in uscita, ma non sembra esserci nulla di sfavorevole in questo.

Undici singole patch e due lotti di patch

Come al solito, ci sono numerose patch di sicurezza nell'aggiornamento, inclusi i soliti numeri di vulnerabilità combo-CVE di Mozilla per bug potenzialmente sfruttabili che sono stati trovati automaticamente e corretti senza aspettare per vedere se fosse possibile un exploit proof-of-concept (PoC):

• CVE-2023-28176: Bug di sicurezza della memoria risolti in Firefox 111 e Firefox ESR 102.9. Questi bug sono stati condivisi tra la versione attuale (che include nuove funzionalità) e la versione ESR, abbreviazione di rilascio di supporto esteso (correzioni di sicurezza applicate, ma con nuove funzionalità congelate dalla versione 102, nove versioni fa).
• CVE-2023-28177: Bug di sicurezza della memoria risolti solo in Firefox 111. Questi bug quasi certamente esistono solo nel nuovo codice che ha introdotto nuove funzionalità, dato che non si sono presentati nella vecchia base di codice ESR.

Questi sacchi di insetti sono stati valutati Alta anziché critico.

Mozilla ammette che "presumiamo che con uno sforzo sufficiente alcuni di questi potrebbero essere sfruttati per eseguire codice arbitrario", ma nessuno ha ancora capito come farlo, o anche se tali exploit sono fattibili.

Nessuno degli altri undici bug numerati CVE di questo mese è stato peggiore di quello Alta; tre di questi si applicano solo a Firefox per Android; e nessuno ha ancora (per quanto ne sappiamo ancora) escogitato un exploit PoC che mostri come abusarne nella vita reale.

Tra le 11 compaiono due vulnerabilità particolarmente interessanti, vale a dire:

• CVE-2023-28161: Le autorizzazioni una tantum concesse a un file locale sono state estese ad altri file locali caricati nella stessa scheda. Con questo bug, se hai aperto un file locale (come il contenuto HTML scaricato) che voleva accedere, diciamo, alla tua webcam, qualsiasi altro file locale che hai aperto in seguito erediterà magicamente quell'autorizzazione di accesso senza chiedertelo. Come ha notato Mozilla, questo potrebbe causare problemi se stavi guardando attraverso una raccolta di elementi nella tua directory di download: gli avvisi di autorizzazione di accesso che vedresti dipenderebbero dall'ordine in cui hai aperto i file.
• CVE-2023-28163: La finestra di dialogo Salva con nome di Windows ha risolto le variabili di ambiente. Questo è un altro vivo promemoria per disinfetta i tuoi input, come ci piace dire. Nei comandi di Windows, alcune sequenze di caratteri vengono trattate in modo speciale, ad esempio %USERNAME%, che viene convertito nel nome dell'utente attualmente connesso, oppure %PUBLIC%, che denota una directory condivisa, solitamente in C:Users. Un sito Web subdolo potrebbe usarlo come un modo per indurti a vedere e approvare il download di un nome file che sembra innocuo ma finisce in una directory che non ti aspetteresti (e dove potresti non accorgerti in seguito che era finito).

Cosa fare?

La maggior parte degli utenti di Firefox riceverà l'aggiornamento automaticamente, in genere dopo un ritardo casuale per interrompere il download del computer di tutti nello stesso momento...

…ma puoi evitare l'attesa usando manualmente Aiuto > Chi siamo (o Firefox > Informazioni su Firefox su un Mac) su un laptop o forzando un aggiornamento dell'App Store o di Google Play su un dispositivo mobile.

(Se sei un utente Linux e Firefox è fornito dal produttore della tua distribuzione, esegui un aggiornamento del sistema per verificare la disponibilità della nuova versione.)

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
• Fonte: https://nakedsecurity.sophos.com/2023/03/14/firefox-111-patches-11-holes-but-not-1-zero-day-among-them/