Mozilla corregge falla 0-day già sfruttata su Firefox: meglio aggiornare immediatamente

Mozilla ha appena distribuito un aggiornamento di emergenza per il suo popolare browser Firefox, mirando a risolvere una pericolosa vulnerabilità di tipo "use-after-free" nelle timeline di animazione.

La falla, identificata come CVE-2024-9680, è stata scoperta dal ricercatore Damien Schaeffer di ESET. Ciò che rende particolarmente preoccupante questa vulnerabilità è il fatto che sia già stata sfruttata attivamente da malintenzionati, mettendo a rischio la sicurezza degli utenti Firefox.

Mozilla corregge 0-day su Firefox

Le timeline di animazione, parte integrante dell'API Web Animations di Firefox, sono responsabili del controllo e della sincronizzazione delle animazioni sulle pagine web. La vulnerabilità in questione permette a un attaccante di eseguire codice malevolo nell'elaborazione dei contenuti del browser, sfruttando un bug nella gestione della memoria.

Il problema riguarda sia la versione standard di Firefox che le versioni a supporto esteso (ESR) e, per contrastare questa minaccia, Mozilla ha rilasciato le seguenti versioni corrette: Firefox 131.0.2, Firefox ESR 115.16.1 e Firefox ESR 128.3.1. Considerando che la falla è stata già sfruttata, il consiglio per gli utenti del browser è di aggiornare subito. Al momento, non ci sono molti altri dettagli su come questa vulnerabilità venga sfruttata e su chi siano i bersagli principali degli attacchi.

Le vulnerabilità zero-day, così chiamate perché sfruttate prima che gli sviluppatori abbiano avuto il tempo di correggerle, rappresentano una minaccia particolarmente insidiosa. Nel caso di Firefox, fortunatamente, questa è solo la seconda volta nel 2024 che Mozilla si trova a dover affrontare una simile emergenza. L'episodio precedente risale al 22 marzo, quando l'azienda ha dovuto risolvere due vulnerabilità critiche (CVE-2024-29943 e CVE-2024-29944) scoperte durante la competizione di hacking Pwn2Own Vancouver 2024.