Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Non è uno di quegli aggiornamenti da rimandare a domani. Questa volta no. Con il rilascio della versione 149, qualcosa cambia davvero… e non in meglio, almeno per chi resta indietro. Parliamo di decine di vulnerabilità corrette in un colpo solo. E alcune fanno venire più di un dubbio, soprattutto se pensi a quanto sia diffuso il browser.
Mozilla ha corretto moltissimi bug di sicurezza, distribuiti tra score diversi. 18 sono classificati come gravi (Critical con valori compresi tra 9,8 e 10 di CVSS score), diciassette moderati e quattro minori. Numeri che già da soli raccontano una storia.
Tra i punti più delicati ci sono sei falle che permettono di aggirare la sandbox. In pratica, un attaccante potrebbe uscire dai limiti di sicurezza del browser e agire direttamente sul sistema. Non proprio un dettaglio.
Un esempio? Una vulnerabilità legata a una race condition nel componente WebRender. Oppure diversi bug nei sistemi di Telemetry, nelle API di accessibilità e in XPCOM. Tutti con lo stesso problema di fondo: permettere qualcosa che non dovrebbe succedere.
| CVE | Severity | Tipologia di bug |
|---|---|---|
| CVE-2026-4723 | CRITICAL (9.8) | Use-after-free (JavaScript Engine) |
| CVE-2026-4725 | CRITICAL (10.0) | Sandbox escape (use-after-free, Canvas2D) |
| CVE-2026-4729 | CRITICAL (9.8) | Memory safety / memory corruption |
| CVE-2026-4711 | CRITICAL (9.8) | Use-after-free (Widget Cocoa) |
| CVE-2026-4717 | CRITICAL (9.8) | Privilege escalation (Netmonitor) |
| CVE-2026-4720 | CRITICAL (9.8) | Memory safety / memory corruption |
| CVE-2026-4721 | CRITICAL (9.8) | Memory safety / memory corruption |
| CVE-2026-4700 | CRITICAL (9.8) | Mitigation bypass (HTTP) |
| CVE-2026-4701 | CRITICAL (9.8) | Use-after-free (JavaScript Engine) |
| CVE-2026-4702 | CRITICAL (9.8) | JIT miscompilation (JavaScript Engine) |
| CVE-2026-4705 | CRITICAL (9.8) | Undefined behavior (WebRTC Signaling) |
| CVE-2026-4710 | CRITICAL (9.8) | Incorrect boundary conditions (Audio/Video) |
| CVE-2026-4692 | CRITICAL (10.0) | Sandbox escape (Responsive Design Mode) |
| CVE-2026-4696 | CRITICAL (9.8) | Use-after-free (Layout Text/Fonts) |
| CVE-2026-4698 | CRITICAL (9.8) | JIT miscompilation (JavaScript Engine JIT) |
| CVE-2026-4688 | CRITICAL (10.0) | Sandbox escape (use-after-free, Disability APIs) |
| CVE-2026-4689 | CRITICAL (10.0) | Sandbox escape (integer overflow, XPCOM) |
| CVE-2026-4691 | CRITICAL (9.8) | Use-after-free (CSS Parsing) |
Alcuni difetti riguardano la gestione della memoria. E qui le cose si fanno più serie. Mozilla stessa ha ammesso che certi bug mostrano segnali di corruzione della memoria. E quando succede il rischio è che qualcuno riesca a eseguire codice arbitrario. Non immediato, certo, ma possibile con abbastanza lavoro.
C’è anche un problema nel motore JavaScript legato alla compilazione JIT. Questo tipo di errore può portare direttamente all’esecuzione di codice malevolo. Insomma, una porta aperta, anche se non spalancata. Una parte interessante di questa storia riguarda come alcune vulnerabilità sono state trovate. Il volume così ampio e frutto di un utilizzo massimo delle AI. Per individuarle è stato utilizzato Claude, il sistema sviluppato da Anthropic.
È la prima volta che un advisory di questo tipo include così tanti CVE scoperti con il supporto dell’intelligenza artificiale. Questo fa riflettere perché da un lato aiuta a trovare problemi, dall’altro fa capire quanto sia complesso il software moderno e quanto possa essere facile, sia per ricercatori che malintenzionati, scoprire bug di sicurezza nel mondo open source.
Le vulnerabilità di livello medio coprono vari componenti, come Canvas2D, grafica e audio. C’è anche un caso di escalation dei privilegi nel Netmonitor e un’altra fuga dalla sandbox legata sempre a use-after-free. Quelle minori includono attacchi di tipo denial of service e un problema di spoofing nel sistema anti-tracciamento. Meno gravi, sì, ma comunque da non ignorare.
Tutte queste vulnerabilità riguardano le versioni precedenti alla 149. Anche alcune versioni ESR hanno ricevuto aggiornamenti specifici per correggere parte dei problemi. Chi gestisce infrastrutture aziendali dovrebbe muoversi subito. La presenza di più vettori di attacco, inclusi quelli per esecuzione remota, non lascia molto spazio a esitazioni.
Secondo quanto riportato da Mozilla nell’advisory ufficiale, l’aggiornamento deve essere applicato senza ritardi, utilizzando il sistema automatico o scaricando direttamente la nuova versione.
Per la community di Red Hot Cyber, questa vicenda dice molto più di quanto sembri a prima vista. Oggi una code review efficace può diventare sorprendentemente rapida, quasi automatica, grazie all’intelligenza artificiale e questo cambia le regole del gioco. Le competenze di bug hunting, un tempo riservate a pochi specialisti, rischiano di diventare sempre più accessibili proprio tramite questi strumenti.
C’è però un lato che inquieta. Se le stesse vulnerabilità fossero finite prima nelle mani sbagliate, avremmo probabilmente visto un aumento nello sviluppo di spyware e nella loro compravendita nei circuiti underground. Ed è qui che il discorso si fa più delicato: il vero valore, oggi, resta l’accesso al codice sorgente di software chiusi. È lì che si concentra l’interesse dei broker di zeroday ed è lì che si gioca una partita molto più grande.
