Mozilla risolve una pericolosa RCE su Firefox 142

Diversi bug di sicurezza di alta gravità sono stati risolti da Mozilla con il rilascio di Firefox 142, impedendo a malintenzionati di eseguire in remoto codice a loro scelta sui sistemi coinvolti. L’avviso di sicurezza, pubblicato il 19 agosto 2025, rivela nove vulnerabilità distinte che vanno dalle escape sandbox ai bug di sicurezza della memoria, con diverse classificate come minacce ad alto impatto in grado di consentire l’esecuzione di codice remoto (RCE).

Questa falla consente la corruzione della memoria all’interno del processo GMP fortemente sandboxato responsabile della gestione dei contenuti multimediali crittografati, consentendo potenzialmente agli aggressori di aumentare i privilegi oltre le restrizioni standard del processo dei contenuto.

Un’ampia gamma di vulnerabilità è stata rilevata, tra cui il CVE-2025-9180, un aggiramento della politica di origine comune che interessa il componente Graphics Canvas2D.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Il team di sicurezza di Mozilla, composto dai ricercatori Andy Leiserson, Maurice Dauer, Sebastian Hengst e dal Mozilla Fuzzing Team, ha identificato questi bug di danneggiamento della memoria che dimostrano chiaramente la possibilità di sfruttarli per l’esecuzione di codice arbitrario .

Questa falla di sicurezza compromette il modello fondamentale di sicurezza web che impedisce l’accesso alle risorse multiorigine, consentendo potenzialmente a siti web dannosi di accedere a dati sensibili da altri domini.

Sono tre le vulnerabilità di sicurezza che presentano rischi significativi per l’RCE. La vulnerabilità CVE-2025-9187 riguarda Firefox 141 e Thunderbird 141, mentre la vulnerabilità CVE-2025-9184 riguarda Firefox ESR 140.1, Thunderbird ESR 140.1, Firefox 141 e Thunderbird 141.

Il problema più diffuso, il CVE-2025-9185, riguarda diverse versioni di Extended Support Release (ESR), tra cui Firefox ESR 115.26, 128.13 e 140.1, oltre alle loro controparti Thunderbird.

Tra le vulnerabilità aggiuntive figurano CVE-2025-9181, un problema di memoria non inizializzata nel componente JavaScript Engine segnalato da Irvan Kurniawan e diversi problemi di minore gravità che interessano lo spoofing della barra degli indirizzi e le condizioni di negazione del servizio nel componente grafico WebRender.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.