Mozilla corregge due problemi di sicurezza critici in Firefox e Thunderbird

Mozilla ha pubblicato gli aggiornamenti per i suoi browser Web Firefox e Firefox ESR il 20 maggio 2022. Il team di sviluppo di Thunderbird ha rilasciato una patch anche per il client di posta elettronica. Gli aggiornamenti di sicurezza risolvono due problemi di sicurezza critici nel browser Web Firefox e Thunderbird.

aggiornamento della sicurezza di Firefox 100.0.2

Ecco l’elenco dei prodotti con gli aggiornamenti:

  • Firefox 100.0.2
  • Firefox ESR 91.9.1
  • Firefox per Android 100.3
  • Thunderbird 91.9.1

Gli aggiornamenti sono già disponibili e la maggior parte delle installazioni degli utenti verrà aggiornata automaticamente. Gli utenti desktop che non vogliono aspettare che ciò accada possono eseguire un controllo manuale degli aggiornamenti per accelerare l’installazione.

  • Firefox : seleziona Menu > Aiuto > Informazioni su Firefox. Firefox esegue un controllo manuale degli aggiornamenti. Qualsiasi aggiornamento trovato verrà scaricato e installato.
  • Thunderbird : seleziona Aiuto > Informazioni su Thunderbird. Thunderbird controllerà anche gli aggiornamenti e installerà quelli che trova.

Nota: Firefox per Android viene aggiornato tramite Google Play. Non è possibile accelerare la consegna degli aggiornamenti su Android tramite Google Play.

Le note di rilascio ufficiali elencano una singola voce, che conferma la natura di sicurezza dell’aggiornamento. Mozilla ha pubblicato un avviso di sicurezza per tutte le versioni interessate del browser Web che fornisce ulteriori dettagli sui problemi:

Lì, gli utenti scoprono che due problemi di sicurezza sono stati corretti nell’aggiornamento. Entrambi i problemi hanno il punteggio di gravità critico, il punteggio più alto disponibile. Sono stati segnalati a Mozilla da Manfred Paul tramite Zero Day Initiative di Trend Micro.

CVE-2022-1802: Prototipo di inquinamento nell’implementazione di Top-Level Await

Se un utente malintenzionato fosse in grado di corrompere i metodi di un oggetto Array in JavaScript tramite l’inquinamento da prototipi, avrebbe potuto ottenere l’esecuzione di codice JavaScript controllato dall’attaccante in un contesto privilegiato.

CVE-2022-1529: input non attendibile utilizzato nell’indicizzazione di oggetti JavaScript, che porta all’inquinamento del prototipo

Un utente malintenzionato potrebbe aver inviato un messaggio al processo padre in cui i contenuti sono stati utilizzati per eseguire il double-index in un oggetto JavaScript, provocando l’inquinamento da prototipi e, in ultima analisi, JavaScript controllato dall’attaccante in esecuzione nel processo padre privilegiato.

Le segnalazioni di bug collegate sono limitate. Mozilla non fa menzione di attacchi in natura che prendono di mira queste vulnerabilità.

Gli utenti di Firefox e Thunderbird potrebbero voler aggiornare rapidamente le proprie applicazioni per proteggerle dagli attacchi mirati a questi problemi.