Dopo l’avvistamento del redivivo bankware SharkBot, due nuove aggressioni alla sicurezza informatica degli utenti sono emerse nelle scorse ore, quando sono state segnalate ben tre pericolose vulnerabilità, due delle quali per il browser Firefox, e una per i device Android (e ChromeOS) based.
La prima emergenza informatica di questo middle week di Marzo riguarda il celeberrimo browser Firefox nato dalle ceneri di Netscape. Secondo alcuni ricercatori di Qihoo 360 (realizzatrice di un ottimo antivirus multi-engine), il client navigatorio della Mozilla Foundation è risultato essere affetto da due vulnerabilità, etichettate come CVE-2022-26485 e CVE-2022-26486, di tipo user-after-free che, cioè, nel caso di un difetto di gestione della memoria dinamica da parte di un programma, permettevano a un hacker di dirottare il puntatore non rimosso a una cella di memoria ormai vuotata verso un’altra risorsa, magari malevola, con la conseguenza che da remoto si sarebbe potuto eseguire sui device della vittima del codice dannoso.
Nella fattispecie delle due vulnerabilità zero-day (quindi già usate per degli attacchi, sebbene non siano stati diffusi dettagli sulle “vittime”, gli autori, e le specifiche dell’intrusione), la CVE-2022-26485 permetteva all’hacker d’eseguire sul device contagiato del codice malevolo, per indirizzarlo a siti web colmi di link pronti, al minimo click, a installare dei virus. Diversamente, la vulnerabilità CVE-2022-26486 permetteva da remoto di eseguire del codice dannoso, sfruttando il meccanismo elusivo della sandbox escape (esecuzione di codice al di fuori della bolla isolante di una sandbox).
Informata delle due vulnerabilità di cui sopra, Firefox ha subito rilasciato un aggiornamento correttivo, col numero di release 97.0.2, che è possibile scaricare semplicemente recandosi nel menu delle impostazioni di Firefox, dapprima alla voce “Aiuto” e poi in “Informazioni su Firefox”: quivi giunti, partirà in automatico lo scaricamento dell’update, terminato e installato il quale verrà chiesto di riavviare il programma.
Non meno problematica potrebbe essere la vulnerabilità CVE-2022-0847, denominata “Dirty Pipe” scoperta dal ricercatore di sicurezza Max Kellerman analizzando i file di log di un web server che accusava dei problemi. Da tale analisi si è scoperta la vulnerabilità in questione che affligge il kernel (cuore) delle release di Linux (sistema operativo alla base di Android e ChromeOS), in ragione del quale un malintenzionato potrebbe (non vi sono prove che l’exploit sia già stato usato) scrivere nelle pagine memorizzate nella cache di sistema (in /etc/password), anche senza aver alcun privilegio (cioè anche se il file è settato in modalità lettura perché sia modificabile in teoria solo dall’utente di root, cioè dal proprietario del sistema), con la conseguenza del poter prendere il controllo del dispositivo, potendo combinare guai con i file dell’utente o eseguire del codice dannoso.
L’exploit Dirty Pipe (CVE-2022-0847) è presente nelle versioni recenti del kernel Linux, dalla 5.8 introdotta nel 2020 in poi, ma è già stato segnalato: Android Security Team lo ha già aggiunto al codice sorgente di Android dalla fine di Febbraio, tal che le future release del robottino verde siano già protette, ma un fix ad hoc non è stato inserito nel bollettino della sicurezza di Marzo, già rilasciato e, quindi, non è chiaro se, per beneficiarne, sarà rilasciato un security update speciale, o se occorrerà attendere la tornata di Aprile. Secondo Kellerman, tra i device esposti a tale vulnerabilità figurerebbero i Pixel 6 e i Samsung Galaxy 22: in ogni caso, è possibile appurare che versione del kernel si abbia entrando nelle impostazioni del telefono e, alla voce, “Informazioni sul telefono”, cercando prima la versione di Android e, poi, la versione del kernel, tenendo presente che, se il numero evidenziato sarà inferiore a 5.8, si sarà al riparo.