Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Risolte gravi vulnerabilità in Mozilla Firefox 72

Firefox  Mozilla   mercoledì, 8 gennaio 2020

Mozilla ha rilasciato la versione 72 del suo browser Firefox per i maggiori sistemi desktop (Windows, macOS e Linux) e Android. L’aggiornamento risolve un totale di 11 vulnerabilità di cui 5 di gravità elevata.

Le vulnerabilità sono state identificate nelle versioni di Mozilla Firefox precedenti la 72. Lo sfruttamento delle più gravi tra queste vulnerabilità potrebbe consentire ad un utente non autorizzato di causare il crash dell’applicazione con conseguente condizione di denial of service o potenziale esecuzione di codice arbitrario. Queste vulnerabilità possono essere sfruttate se un utente visita o viene reindirizzato a una pagina Web appositamente predisposta o apre un file appositamente predisposto.

Dettagli delle vulnerabilità (in Inglese):

  • [High] Memory corruption in parent process during new content process initialization on Windows (CVE-2019-17015)
  • [High] Bypass of @namespace CSS sanitization during pasting (CVE-2019-17016)
  • [High] Type Confusion in XPCVariant.cpp (CVE-2019-17017)
  • [Moderate] Windows Keyboard in Private Browsing Mode may retain word suggestions (CVE-2019-17018)
  • [Moderate] Python files could be inadvertently executed upon opening a download (CVE-2019-17019)
  • [Moderate] Content Security Policy not applied to XSL stylesheets applied to XML documents (CVE-2019-17020)
  • [Moderate] Heap address disclosure in parent process during content process initialization on Windows (CVE-2019-17021)
  • [Moderate] CSS sanitization does not escape HTML tags (CVE-2019-17022)
  • [Low] Network Security Services may negotiate TLS 1.2 or below after a TLS 1.3 HelloRetryRequest had been sent (CVE-2019-17023)
  • [High] Memory safety bugs fixed in Firefox 72 and Firefox ESR 68.4 (CVE-2019-17024)
  • [High] Memory safety bugs fixed in Firefox 72 (CVE-2019-17025)

Per risolvere queste vulnerabilità è necessario aggiornare Firefox alla versione 72. Mozilla ha altresì rilasciato un avviso di sicurezza separato riguardante vulnerabilità identificate in Firefox ESR (Extended Support Release). Per risolvere queste vulnerabilità è necessario aggiornare Firefox ESR alla versione 68.4.

Per maggiori informazioni è possibile consultare i seguenti avvisi di sicurezza di Mozilla (in Inglese):

Notizie correlate

Risolte vulnerabilità critiche in Mozilla Thunderbird 68.4.1

16 gennaio 2020

Mozilla ha rilasciato un avviso di sicurezza riguardante diverse vulnerabilità, di cui una critica e altre 4 di gravità elevata, nella versione 68 del client di posta elettronica Thunderbird.Leggi tutto

Aggiornamento di sicurezza critico per Mozilla Firefox 72

10 gennaio 2020

Mozilla ha rilasciato un avviso di sicurezza riguardante una vulnerabilità critica zero-day nella versione 72 del browser Web Firefox.Leggi tutto

Risolte gravi vulnerabilità in Mozilla Thunderbird 68.3

5 dicembre 2019

Mozilla ha rilasciato un avviso di sicurezza riguardante diverse vulnerabilità, di cui 6 di gravità elevata, nella versione 68 del client di posta elettronica Thunderbird.Leggi tutto