Redazione RHC : 10 Ottobre 2024 10:41
Mozilla ha rilasciato un aggiornamento di sicurezza di emergenza per Firefox per risolvere una vulnerabilità critica use-after-free (UAF) già utilizzata in attacchi attivi. Il bug zero-day CVE-2024-9680 (punteggio CVSS: 9,8) è stato scoperto dal ricercatore ESET Damien Schaffer ed è correlato al meccanismo di controllo dell’animazione sulle pagine web.
Use-after-free è un tipo di errore in cui il programma continua a utilizzare un’area di memoria già liberata. Ciò consente agli aggressori di inserire dati dannosi nella memoria, che alla fine possono portare all’esecuzione di codice arbitrario. In questo caso, la vulnerabilità colpisce l’API Web Animations, che controlla le animazioni sulle pagine web.
Secondo il bollettino sulla sicurezza, i criminali informatici sono riusciti a eseguire codice nel processo di contenuto del browser sfruttando una vulnerabilità nel meccanismo delle sequenze temporali di animazione. Sono già stati registrati casi di sfruttamento della carenza.
Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
La vulnerabilità colpisce le versioni recenti del browser Firefox, comprese le edizioni con supporto standard ed esteso (ESR). Per proteggere gli utenti, sono stati rilasciati aggiornamenti nelle seguenti versioni:
Dato che la vulnerabilità viene sfruttata attivamente, si consiglia di aggiornare immediatamente il browser all’ultima versione. Per fare ciò, è necessario aprire Firefox, dopodiché inizierà l’aggiornamento automatico.
Per completare l’installazione sarà necessario riavviare il programma. Non ci sono ancora informazioni su come esattamente gli aggressori attaccano gli utenti, quindi l’aggiornamento è estremamente importante.
Il ransomware HellCat è apparso nella seconda metà del 2024 e ha attirato l’attenzione degli analisti grazie all’umorismo delle sue dichiarazioni pubbliche. Ricordiamo l’...
Il 28 marzo 2025, un utente del noto forum di cybersecurity BreachForums, con lo pseudonimo ThinkingOne, ha rivelato quello che potrebbe essere il più grande data breach mai registrato nel mondo ...
Quando Jeffrey Goldberg dell’Atlantic ha fatto trapelare accidentalmente un messaggio di gruppo privato di alti funzionari statunitensi su un possibile attacco contro gli Houthi nello Yemen, ha...
Ogni mese diventa sempre più evidente: le password non funzionano più. Gli hacker hanno imparato a eludere anche la protezione a due fattori sfruttando sessioni rubate e milioni di dati comp...
La pseudonimizzazione è una tecnica di protezione dei dati definita dall’art. 4(5) del GDPR. Consiste nella trasformazione dei dati personali in modo tale che non possano più essere a...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006