Mozilla: risolta una vulnerabilità critica in Firefox ESR

Mozilla sviluppa una versione di Firefox chiamata ESR (Extended Support Release), si tratta in pratica di una versione LTS (Long Term Support) del browser che è indirizzata principalmente alle aziende o ai professionisti che necessitano di software che siano stabili e duraturi.

Firefox ESR è dunque una versione del Panda Rosso che viene mantenuta per diversi anni e che riceve patch e bugfix di sicurezza in modo da essere sempre stabile e sicura.

Firefox ESR è però basata su build che tendono a diventare rapidamente obsolete, visto anche il ritmo con cui vengono rilasciate nuove release del Panda Rosso, e questo espone gli utenti a diversi rischi di sicurezza imprevisti o sconosciuti.

A tal proposito, giusto in questi giorni è stato rilasciato un nuovo update per Firefox 67, ovvero la versione più recente del ramo ESR, che contiene un importante bugfix di sicurezza che va a risolvere una vulnerabilità critica etichettata come CVE-2019-11707.

CVE-2019-11707 era associata ad una type confusion vulnerability che avrebbe permesso ad un utente malintenzionato, tramite la manipolazione del codice Javascript, di provocare un exploitable crash, ovvero una chiusura inaspettata del browser sfruttata per eseguire del codice malevolo in modo non autorizzato su un sistema target.

Questa falla è stata segnalata per la prima volta dall'analista di sicurezza informatica Samuel Groß, membro del team di Google Project Zero. Gli sviluppatori di Mozilla invitano quindi i propri utenti ad aggiornare l'installazione di Firefox ESR il prima possibile.

Via Mozilla