Vulnerabilità, installate subito l’ultima versione di Firefox o Tor Browser
I team di sviluppatori di Mozilla e Tor hanno pubblicato degli aggiornamenti per Firefox e Tor Browser al fine di sistemare una grave vulnerabilità 0-day che consentiva di eseguire codice da remoto e rendere inefficaci i sistemi di anonimizzazione sulle reti Tor.
“La vulnerabilità di sicurezza responsabile di questo rilascio urgente è già sfruttata attivamente sui sistemi Windows”, scrive un responsabile di Tor su un documento pubblicato mercoledì. “Anche se non ci sono exploit simili su Linux e OS X, il bug era presente anche su queste ultime piattaforme. Raccomandiamo a tutti gli utenti di aggiornare i loro Tor Browser immediatamente”. Tor Browser si basa su Firefox, che è open-source ed è sviluppato da Mozilla Foundation. Dopo la pubblicazione della pagina sul sito ufficiale di Tor è infatti arrivato un post di Mozilla che informava del rilascio dell’aggiornamento su una versione di Firefox installabile da tutti gli utenti.
L’aggressione era in grado di eseguire del codice dopo che sul sistema target veniva iniettato codice JavaScript malevolo e codice basato su animazioni scalabili di grafica vettoriale. Stando alle nuove informazioni rilasciate l’exploit aveva la capacità di inviare gli indirizzi IP e MAC del computer vittima ad un server controllato dall’aggressore, e ricorda molto da vicino alcune tecniche utilizzate dalle agenzie delle forze dell’ordine per captare dati sensibili di utenti terzi. Come scrivevamo ieri, la vulnerabilità può essere collegata ad un altro bug risalente al 2013 sfruttato dalla FBI per identificare alcuni utenti su Tor che scambiavano materiale pedopornografico.
Tale caratteristica ha fatto supporre sin da subito che l’exploit fosse stato creato dalle stesse agenzie americane per finalità di indagini tuttavia Daniel Veditz sottolinea sul suo post che non ci sono prove per confermare la supposizione. In più, il caso specifico evidenzia la pericolosità di allentare le difese dei sistemi informatici per facilitare le indagini alle agenzie governative: una volta che una vulnerabilità esce allo scoperto, infatti, diventa estremamente pericolosa se passa nelle mani sbagliate. La falla 0-day degli scorsi giorni è contrassegnata come critica con l’identificativo CVE-2016-9079 ed è presente non solo su Firefox, ma anche su Thunderbird e su Tor Browser.
Per quanto riguarda quest’ultimo software la nuova release introduce un aggiornamento di NoScript, estensione per Firefox che viene offerta in dotazione con la versione modificata del browser. NoScript permette agli utenti di selezionare i siti che possono e non possono eseguire JavaScript sul browser, ma non sono del tutto chiare le novità incluse in questo update dell’estensione. A questo indirizzo trovate maggiori informazioni sulla vulnerabilità 0-day corretta dai nuovi fix. (fonte)
