Quella attuale, probabilmente, passerà alla storia come una delle peggiori giornate per il mondo dei browser visto che, dopo lo scandalo attorno alla proprietà (cinese) di Opera, scoperta a proporre tramite applicazioni Android/iOS prestiti con lassi temporali e tassi da usura, sono state appurate ben due vulnerabilità rispettivamente in Firefox e Internet Explorer.
La prima emergenza in tema di browser riguarda Firefox, ed è stata segnalata dalla security house cinese Qihoo 360, autrice di un noto antivirus multi-engine che, grazie alle funzioni cloud integrate, ha scoperto le evidenze di un attacco, condotto contro sistemi Linux, macOS, e Windows, attraverso una vulnerabilità di Firefox confermata anche dall’agenzia nazionale statunitense per la sicurezza delle infrastrutture e la cybersecurity.
La vulnerabilità in questione, in grado di superare anche alcune specifiche protezioni presenti su Windows (address space layout randomization, o ASLR), prevede che l’hacker inietti, tramite siti compromessi, del codice nel browser ottenendo, in cambio, l’accesso a particolari aree di memoria del sistema sulle quali il programma di navigazione non avrebbe normalmente accesso: a quel punto, il criminale può leggere le informazioni ivi presenti (come accorso ad alcuni utenti di alto profilo), o scrivervi dei dati, magari causando l’installazione di una backdoor (come capitato su alcune macchine macOS).
Mozilla Foundation, avvertita dell’emergenza, ha già rilasciato da giorni una correzione, presente dalle versioni ESR 68.4.1 e 72.0.1 di Firefox, ma il problema potrebbe essere ancora in auge e attuale per coloro che, frenati dall’edizione del proprio sistema operativo, non possono aggiornare il browser: in questo caso, quindi, si consiglia di disinstallarlo, ed optare per una diversa alternativa.
Curiosamente, un inconveniente praticamente identico, secondo sempre Qihoo 360 e l’ente americano per le emergenze informatiche (lo US-CERT), riguarderebbe anche il vetusto Internet Explorer che, pur sostituito da Edge (di recente a base Chromium), viene ancora impiegato in ambito aziendale, magari nelle intranet, su siti datati.
In questo caso, la vulnerabilità, risiedente nel motore di scripting che presiede all’esecuzione dei linguaggi JScript e VBScript, consentirebbe l’esecuzione remota di codice malevolo, proposto tramite documenti Office, PDF, o siti web, con la conseguenza che l’hacker potrebbe acquisire (come già accaduto) privilegi molto alti su alcune macchine compromesse.
Microsoft, certificata la vulnerabilità (CVE-2020-0674), si è detta al lavoro per risolvere il problema con una patch che, però, potrebbe arrivare solo l’11 Febbraio: nel frattempo, come riportato sul sito dell’US-CERT (kb.cert.org/vuls/id/338824/), è possibile tamponare il problema inibendo l’accesso alla libreria che rende possibile la compatibilità con la versione obsoleta del motore JScript, rilasciata nel 2009, e veicolo dell’attacco in oggetto.