ALLERTA PERICOLI INFORMATICI

GRAVI BUG IN FIREFOX, CHROME E EDGE CONSENTONO ATTACCHI REMOTI : AGGIORNARE SUBITO IL VOSTRO BROWSER PREDEFINITO

10/01/2021
GRAVI BUG IN FIREFOX, CHROME E EDGE CONSENTONO ATTACCHI REMOTI : AGGIORNARE SUBITO IL VOSTRO BROWSER PREDEFINITO
Scritto da gestore

I principali browser si sono aggiornati per correggere bug differenti che consentono per tutti attacchi remoti, che potrebbero potenzialmente permettere agli hacker di assumere il controllo dei dispositivi attaccati.

Ecco come aggiornare i vari browser interessati

Intermezzo promozionale ... continua la lettura dopo il box:

CONTROLLA LA TUA REPUTAZIONE ONLINE:
controllo e monitoraggio della reputazione per privati ed aziende
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]

AGGIORNARE IL BROWSER CHROME

Ecco come procedere :

  1. Aprire questo link : chrome://settings/help oppure dal menu in alto a destra con i โ€œtre puntiniโ€ โ€“> GUIDA โ€”> INFORMAZIONI SU GOOGLE CHROME
  2. Appena si apre la pagina potete vedere la disponibilitร  dellโ€™aggiornamento
  3. GRAVI BUG IN FIREFOX, CHROME E EDGE CONSENTONO ATTACCHI REMOTI : AGGIORNARE SUBITO IL VOSTRO BROWSER PREDEFINITO
  4. Riavviare il browser al termine dellโ€™operazione
  5. GRAVI BUG IN FIREFOX, CHROME E EDGE CONSENTONO ATTACCHI REMOTI : AGGIORNARE SUBITO IL VOSTRO BROWSER PREDEFINITO

AGGIORNARE IL BROWSER FIREFOX

Per impostazione predefinita, Firefox si aggiorna automaticamente alla versione piรน recente ma รจ sempre possibile controllare manualmente la presenza di eventuali aggiornamenti. La procedura manuale darร  avvio al download dellโ€™aggiornamento ma occorrerร  un riavvio di Firefox perchรฉ sia installato.

Aggiornamento manuale di Firefox

  1. Fare clic sul pulsante dei menu in alto a destra , successivamente su Aiuto e infine selezionare Informazioni su Firefox.
  2. Verrร  visualizzata la finestra Informazioni su Mozilla Firefox e la ricerca di aggiornamenti avrร  inizio. Se sono disponibili aggiornamenti, il programma comincerร  a scaricarli automaticamente.
  3. Al termine del download, fare clic su Riavvia per aggiornare Firefox. Firefox verrร  riavviato e gli aggiornamenti saranno installati.

 

AGGIORNARE IL BROWSER EDGE

Microsoft Edge viene aggiornato principalmente tramite Windows Update. Gli amministratori e gli utenti devono distinguere tra due tipi di aggiornamenti:

  • Aggiornamenti cumulativi per Windows 10 che aggiornano Microsoft Edge a una nuova versione secondaria.
  • Aggiornamenti delle funzionalitร  per Windows 10 che aggiornano Edge a una nuova versione principale.

Tuttavia รจ possibile verificare se รจ aggiornato tramite questo link

Aprire questo link dal browser edge : edge://settings/help

 

Intermezzo promozionale ... continua la lettura dopo il box:

DIFESA TOTALE DELLA REPUTAZIONE :
difesa della reputazione online
Difesa Totale della Reputazione รจ un servizio completo per la tutela della reputazione che si compone di 5 livelli di protezione [ click qui ]

 

Riportiamo di seguito la fonte dellโ€™articolo circa la notizia della vulnerabilitร  ( con la traduzione automatica di google) :

I creatori dei browser Chrome, Firefox ed Edge invitano gli utenti a correggere le vulnerabilitร  critiche che, se sfruttate, consentono agli hacker di dirottare i sistemi che eseguono il software.

La vulnerabilitร  di Mozilla Firefox ( CVE-2020-16044 ) รจ separata da un bug segnalato nel motore del browser di Google Chromium, che viene utilizzato nel browser Google Chrome e nellโ€™ultima versione di Microsoft del suo browser Edge.

Bug critico di Firefox Use-After-Free
Giovedรฌ, la Cybersecurity and Infrastructure Security Agency (CISA) ha invitato gli utenti del browser Firefox della Mozilla Foundation a correggere un bug, monitorato come CVE-2020-16044 e valutato come critico. La vulnerabilitร  รจ classificata come bug use-after-free ed รจ legata al modo in cui Firefox gestisce i cookie del browser e, se sfruttata, consente agli hacker di accedere al computer, telefono o tablet che esegue il software del browser.

Sono interessate le versioni del browser Firefox rilasciate prima del desktop Firefox 84.0.2 rilasciato di recente, lโ€™edizione Firefox Android 84.1.3 e anche la versione aziendale ESR 78.6.1 di Mozilla di Firefox.

โ€œUn peer dannoso avrebbe potuto modificare un blocco COOKIE-ECHO in un pacchetto SCTP in un modo che potenzialmente si traduceva in un utilizzo post-libero. Presumiamo che con uno sforzo sufficiente avrebbe potuto essere sfruttato per eseguire codice arbitrario โ€œ, secondo un bollettino sulla sicurezza di Mozilla pubblicato giovedรฌ .
Lโ€™acronimo SCTP sta per Stream Control Transmission Protocol, utilizzato nelle reti di computer per comunicare i dati del protocollo allโ€™interno del Transport Layer della suite di protocolli Internet, o TCP / IP. Il bug รจ legato al modo in cui i dati dei cookie vengono gestiti da SCTP.

Ogni pacchetto SCTP in entrata contiene un blocco di cookie che facilita una risposta corrispondente dal cookie del browser. Un blocco COOKIE ECHO รจ uno snippet di dati inviato durante lโ€™inizializzazione della connessione SCTP con il browser.

Secondo Mozilla, un avversario potrebbe creare un blocco COOKIE-ECHO dannoso per influire sulla memoria del browser. Una vulnerabilitร  use-after-free riguarda un uso errato della memoria dinamica durante il funzionamento del programma. Se dopo aver liberato una posizione di memoria, un programma non cancella il puntatore a quella memoria, un utente malintenzionato puรฒ utilizzare lโ€™errore per hackerare il programma โ€œ, secondo una descrizione della vulnerabilitร .

Mozilla non ha accreditato la scoperta del bug, nรฉ ha affermato se si trattasse di una vulnerabilitร  attivamente sfruttata in natura.

Il bug del browser Chromium colpisce Chrome e Edge   
Sempre giovedรฌ, CISA ha esortato gli utenti Windows, macOS e Linux del browser Chrome di Google a correggere un bug di scrittura fuori limite (CVE-2020-15995) che influisce sullโ€™attuale versione 87.0.4280.141 del software. Lโ€™avviso di bug CISA afferma che lโ€™aggiornamento allโ€™ultima versione del browser Chrome โ€œrisolve le vulnerabilitร  che un utente malintenzionato potrebbe sfruttare per assumere il controllo di un sistema interessatoโ€.

Poichรฉ lโ€™ultimo browser Edge di Microsoft รจ basato sul motore del browser Google Chromium, Microsoft ha anche invitato i suoi utenti ad eseguire lโ€™ aggiornamento allโ€™ultima versione 87.0.664.75 del suo browser Edge .

Mentre i ricercatori di Tenable classificano il bug fuori limite come critico , sia Google che Microsoft hanno classificato la vulnerabilitร  come di alta gravitร  . Il ricercatore di Tencent Security Xuanwu Lab Bohan Liu รจ accreditato per aver trovato e segnalato il bug.

รˆ interessante notare che il bug CVE-2020-15995 risale a un aggiornamento di Chrome per Android sul bollettino di sicurezza di Google pubblicato nellโ€™ottobre 2020. Allโ€™epoca, il bug era anche classificato come di alta gravitร . La falla รจ identificata come una โ€œscrittura fuori limite in V8โ€, bug originariamente trovato a settembre 2020 da Liu.

V8 รจ il motore JavaScript e WebAssembly open source e ad alte prestazioni di Google, secondo una descrizione di uno sviluppatore di Google . Sebbene le specifiche tecniche del bug non siano disponibili, simili bug fuori dai limiti scritti in V8 hanno consentito agli aggressori remoti di sfruttare un danneggiamento dellโ€™heap tramite una pagina HTML predisposta.

Un danneggiamento dellโ€™heap รจ un tipo di danneggiamento della memoria che si verifica in un programma per computer quando il contenuto di una posizione di memoria viene modificato a causa di un comportamento programmatico, dannoso o meno, che supera lโ€™intenzione del programmatore originale o dei parametri del linguaggio del programma. Secondo un documento accademico (PDF) scritto in collaborazione con Nektarios Georgios Tsoutsos, studente membro dellโ€™IEEE e Michail Maniatakos, membro senior dellโ€™IEEE, รจ possibile utilizzare un cosiddetto attacco di smashing dellโ€™heap per sfruttare i casi di corruzione dellโ€™heap .

โ€œGli attacchi Heap Smashing sfruttano gli allocatori di memoria dinamici (ad esempio, malloc) corrompendo le strutture di controllo che definiscono lโ€™heap stesso. Eseguendo lโ€™overflow di un blocco di heap, gli aggressori potrebbero sovrascrivere le intestazioni di heap adiacenti che concatenano diversi blocchi di heap e alla fine fare in modo che lโ€™allocatore di memoria dinamico modifichi posizioni di memoria arbitrarie non appena viene eseguita unโ€™operazione di heap free. Il payload dannoso puรฒ anche essere generato al volo: ad esempio, sfruttando la compilazione Just-In-Time (JIT), il codice assemblato puรฒ essere scritto sullโ€™heap โ€œ, hanno scritto.

Nรฉ Microsoft nรฉ Google spiegano perchรฉ il CVE-2020-15995 di ottobre 2020 viene nuovamente presentato in entrambi i bollettini sulla sicurezza del giovedรฌ. In genere, questa รจ unโ€™indicazione che la correzione originale era incompleta.

Altri bug di Chromium incidono su Chrome e Edge
Dodici bug aggiuntivi sono stati segnalati da Google, che hanno avuto un impatto sul suo motore del browser Chromium. Sia Google che Microsoft presentavano lo stesso elenco di vulnerabilitร  ( CVE-2021-21106 , CVE-2021-21107 , CVE-2021-21108 , CVE-2021-21109 , CVE-2021-21110 , CVE-2021-21111 , CVE-2021 -21112 , CVE-2021-21113 , CVE-2021-21114 , CVE-2021-21115 , CVE-2021-21116 , CVE-2020-16043 ).

La maggior parte dei bug รจ stata classificata come alta gravitร  e legata a bug privi di utilizzo. Tre delle vulnerabilitร  hanno fruttato ai cacciatori di bug $ 20.000 per i loro sforzi. Weipeng Jiang del Codesafe Team of Legendsec del Qiโ€™anxin Group รจ accreditato per aver trovato entrambi i bug da $ 20.000 (CVE-2021-21106 e CVE-2021-21107). Il primo, un bug use-after-free legato alla funzione di riempimento automatico di Chromium e il secondo un bug use-after-free nel componente multimediale Chromium.

Leecraso e Guang Gong di 360 Alpha Lab hanno guadagnato $ 20.000 per un CVE-2021-21108, anche un bug use-after-free nel componente multimediale del browser.

Non sono stati divulgati dettagli tecnici e in genere non lo sono fino a quando non viene stabilito che la maggior parte dei browser Chrome รจ stata aggiornata.

Fonte : https://threatpost.com/firefox-chrome-edge-bugs-system-hijacking/162873/

Potrebbe piacerti anche

Panoramica privacy
Blog Sicurezza Informatica Facile

Questo sito web utilizza i cookie per consentirci di fornirti la migliore esperienza utente possibile. Le informazioni sui cookie vengono memorizzate nel tuo browser ed eseguono funzioni come riconoscerti quando ritorni sul nostro sito Web e aiutare il nostro team a capire quali sezioni del sito Web trovi piรน interessanti e utili.

Cookie strettamente necessari

I cookie strettamente necessari dovrebbero essere sempre attivati, per poter salvare le tue preferenze per le impostazioni dei cookie ed avere una navigazione sul sito ottimale.

Se disabiliti questo cookie, non saremo in grado di salvare le tue preferenze. Ciรฒ significa che ogni volta che visiti questo sito web dovrai abilitare o disabilitare nuovamente i cookie.

Cookie di terze parti

Questo sito Web utilizza Google Tag Manager per aggiornare rapidamente e con facilitร  i codici di monitoraggio e Google Analytics per raccogliere informazioni anonime come il numero di visitatori del sito e le pagine piรน popolari.

Mantenere questo cookie abilitato ci aiuta a migliorare il nostro sito Web. Vi siamo molto grati di questo!