Sono state riscontrate due nuove vulnerabilita' in Mozilla Firefox.
La prima riguarda l'installazione di add-ons da parte di utenti
remoti senza che all'utente ne venga data notifica.
La seconda, piu' critica, consiste in una vulnerabita' di tipo
use-after-free e puo' essere sfruttata per eseguire codice
arbitrario.
Maggiori dettagli sono disponibili nella segnalazione ufficiale
alla sezione "Riferimenti".
:: Software interessato
Mozilla Firefox
:: Impatto
Esecuzione di codice in modalita' remota
Bypass del meccanismo di notifica nell'installazione di add-ons
:: Soluzioni
Aggiornare alle versioni:
Firefox 40.0.3
Firefox ESR 38.2.1
:: Riferimenti
Mozilla Foundation Security Advisories
https://www.mozilla.org/en-US/security/advisories/mfsa2015-95/
https://www.mozilla.org/en-US/security/advisories/mfsa2015-94/
Alert di GARR-CERT Usata per la segnalazione di allarmi di sicurezza e comunicazioni di interesse generale diretti agli enti GARR. L'iscrizione è aperta e consigliata a tutti, il posting è riservato ai membri di GARR-CERT