All the news that was fit to print. Image via Wikipedia
In the 1982 movie Fast Times At Ridgemont High, a classroom of students receives a set of paperwork to pass backward. Nearly every student in the room takes a big whiff of their sheet before setting it down. If you know, you know, I guess, but if you don’t, keep reading.

Those often purple-inked papers were fresh from the ditto machine, or spirit duplicator. Legend has it that not only did they smell good when they were still wet, inhaling the volatile organic compounds within would make the sniffer just a little bit lightheaded. But the spirit duplicator didn’t use ghosts, it used either methanol (wood alcohol), isopropyl, or, if you were loaded, ethyl alcohol.

Invented in 1923 by Wilhelm Ritzerfeld, ditto machines were popular among schools, churches, and clubs for making copies of worksheets, fliers, and so on before the modern copy machine became widespread in the 1980s. Other early duplicating machines include the mimeograph, the hectograph, and the cyclostyle.

Getting A Handle On Duplication

To use the ditto machine, one would first make a master copy using a special sheet of paper with a special type of waxy ink on the back that dissolves in alcohol. These types of sheets are still around today, in a way — if you’ve ever gotten a tattoo, you know that they don’t usually just freehand it; the artist will draw out your design on special paper that they can then use to lay down a temporary tattoo on your freshly-shaved skin before going for it.
Image via Wikipedia
But don’t get too excited; tattoo transfer sheets aren’t compatible with ditto machines for a number of reasons. As I mentioned, ditto sheets use alcohol to transfer the ink, and tattoo sheets use heat and pressure. They’re too thin for the mechanics of the ditto machine’s drum, anyway.

So once you’ve typed or drawn up your master sheet, you’d mount it on the drum of the ditto machine. Then, with a big crank handle, you’d roll the drum over sheet after sheet until you had what you needed. The average master could make roughly 50 to 500 copies depending a number of factors.

The rise of higher-quality master sheets is largely responsible for this wide range, but there are other factors at play, like the color that gets used. Purple was made from a dye called aniline purple and lasted longest on paper, although there was also green, red, and black. You see a lot of purple dittos because of its vibrancy and the fact that it was highly soluble in alcohol.

The type of paper entered into the equation as well: absorbent paper like newsprint would make fewer copies than smoother, less porous bond paper. And, as you might imagine, dense text and images used more ink and would wear out the master faster.

youtube.com/embed/ccYLLzpeVnU?…

As with many paper-based things from decades ago, the durability of dittoes is not so great. They will fade gradually when exposed to UV light. Although there is no citation, Wikipedia claims that the average ditto would fade in direct sunlight after about a month. It goes on to assume that most ditto machine users printed onto low-quality paper and will eventually “yellow and degrade due to residual acid in the untreated pulp”.

Not a Mimeograph

It’s worth mentioning that mimeographs are not quite the same thing as ditto machines. For one thing, ditto machines were often hand cranked, and many mimeographs were motorized. Interestingly enough, the mimeograph predates the spirit duplicator, having been patented on August 8, 1876 by Thomas Edison and popularized by the A.B. Dick Company in the 1880s.

Also known as stencil duplicators, mimeographs were a competing technology that used ink and stencils to produce 50 to several thousand copies. A special stencil sheet bearing a wax coating would be typed on a regular typewriter with the ribbon disengaged and the machine set to this mode, and/or written or drawn upon using a special stylus and lettering guides.

The stencil sheet would then be fed into the machine, which had a large drum with an ink pad. The mimeograph would then squish ink through the stencil and onto the paper. You can see all this and more in the video below, which illustrates just how much of an art this whole process was compared to makin’ copies today.

youtube.com/embed/gYjj62eGwc8?…

Mimeographs were largely done in black, but color could be done “easily”, as the video demonstrates. You basically had to hand paint the colors onto your stencil. It doesn’t seem as though changing out the giant ink pad was an option. Unlike dittoes, mimeographs required better paper, so they should last longer in theory.

Before You Run Off

Duplication for the common man is as important as the printing press itself. While today you might just set the printer to provide the number of copies you need, the history of duplication shows that we’ve come a long way in terms of effort on the user’s end. Keep this in mind the next time you want to go Office Space on it.

hackaday.com/2025/04/03/ditto-…

When you think of attacking or defending computer systems, you probably think of software viruses and the corresponding anti-virus software. But MIT’s 6.5950 class teaches secure hardware design — how to attack and defend CPUs from bad actors. Interested? The course is open source, so you can follow along as long as you don’t mind not getting a grade.

Browsing some of the lecture slides shows that the material isn’t as stuffy as you might imagine. A slide about side channel attacks, for example, features an article called “And Bomb the Anchovies,” which says that Washington DC pizza places know when big news is about to break because pizza delivery to places like the White House or the Pentagon trend upward (something spies call pizza-int, by the way).

Even if you don’t have a burning desire to design more secure hardware, some of the lecture slides make for an interesting flip through on a rainy weekend day. For example, the charts about RowHammer (“RowHammer in One Sentence”) is a great explanation about how software can cause DRAM failures to attack a computer. We only wished they’d identified companies A, B, and C in their study. There are also labs and they politely clarify what setup you need to do each lab (typically, just a Linux server, although some you can do with just a browser).

One of the great things about the Internet is that you can virtually audit classes from anywhere in the world, often for free. MIT is always up to something interesting.

hackaday.com/2025/04/03/mit-wa…

Sono stati scoperti nell’App Store di Apple cinque servizi VPN collegati a strutture militari cinesi. Ciò è stato rivelato come risultato di una indagine congiunta del Tech Transparency Project con il Financial Times. Secondo gli analisti, le app sono sviluppate da aziende legate a Qihoo 360, un colosso informatico cinese che nel 2020 è stato colpito dalle sanzioni statunitensi per i suoi legami con l’esercito cinese.

I servizi VPN si propongono come strumenti per la protezione della privacy su Internet. Permettono, ad esempio, di nascondere l’attività di rete ai provider Internet e di crittografare il traffico durante la connessione a reti pubbliche. Tuttavia, la sicurezza di tali applicazioni dipende direttamente dall’affidabilità dei loro sviluppatori. Se un’azienda raccoglie i dati degli utenti, una VPN può diventare uno strumento di sorveglianza.

Secondo il rapporto, l’elenco delle applicazioni discutibili includeva Turbo VPN, VPN Proxy Master, Thunder VPN, Snap VPN e Signal Secure VPN (non correlato a Signal Messenger). Tre di questi (Turbo VPN, VPN Proxy Master e Thunder VPN) sono stati installati complessivamente più di un milione di volte. Le aziende dietro questi prodotti sono strettamente collegate a Qihoo 360. Inoltre, è stato rivelato che una delle sussidiarie degli sviluppatori, Guangzhou Lianchuang, sta attivamente cercando specialisti con conoscenza della cultura americana per analizzare i dati degli utenti.

A seguito dell’appello dei giornalisti del Financial Times, Apple ha rimosso due app dall’App Store: Thunder VPN e Snap VPN. Il destino degli altri resta incerto. Allo stesso tempo, Apple ha dichiarato di monitorare rigorosamente la conformità delle applicazioni VPN alle sue policy e di rimuoverle immediatamente dallo store alla minima discrepanza.

Qihoo 360, formalmente nota come 360 ​​Security Technology, è presente nell’elenco delle aziende affiliate all’esercito cinese stilato dal Dipartimento della Difesa degli Stati Uniti. Sebbene i proprietari formali delle app siano registrati presso entità giuridiche diverse, l’indagine ha stabilito il loro collegamento con Qihoo attraverso una rete di società e sviluppatori affiliati.

Gli esperti sottolineano che utilizzare servizi VPN sotto la giurisdizione cinese può essere pericoloso, poiché la legge cinese impone agli sviluppatori di conservare i registri degli utenti e di fornirli su richiesta delle autorità. È per questo motivo che nel 2017 Apple ha già effettuato una pulizia su larga scala dell’App Store, rimuovendo tutti i servizi VPN che non rispettavano questi standard.

La situazione attuale solleva interrogativi non solo sulla trasparenza degli sviluppatori, ma anche sulla qualità della revisione delle app sulle piattaforme Apple e Google. Nonostante le misure di sicurezza dichiarate, i servizi inaffidabili continuano a raccogliere milioni di installazioni.

Non è ancora noto se Apple adotterà ulteriori misure sulle app rimanenti. Nel frattempo, si ricorda agli utenti che una VPN affidabile non dovrebbe solo dichiarare di essere sicura, ma anche essere verificata in modo indipendente.

L'articolo Scandalo VPN: Alcune App sull’Apple Store erano legate alla sorveglianza del governo cinese! proviene da il blog della sicurezza informatica.

L’attrice e artista Joanne Chu ha trovato accidentalmente dei deepfake di se stessa online semplicemente cercando il suo nome su Google. Voleva vedere se il suo lavoro o il suo sito web venivano mostrati. Ma invece ha visto video su siti porno che mostravano il suo volto e il suo nome completo, e nei titoli c’erano anche parole razziste.

Tutto è iniziato intorno a maggio 2024. Poi pensò che si trattava solo di un incidente isolato e che sarebbe finito rapidamente. Ma i video continuavano ad apparire. Erano sempre più numerosi. E poi sospettò che qualcuno che conosceva la stesse seguendo. Tutti i video sono stati pubblicati dalla stessa persona con il nickname “Ron“. Ha creato contenuti con il suo volto, sostituendo le attrici reali con l’aiuto delle reti neurali. In seguito Chu venne a sapere che lo stalker aveva realizzato più di 2.000 video di questo tipo e li aveva distribuiti su molti siti web e persino sui social media.

Ha scritto reclami e ha provato a cancellare il video. Le sue amiche, che avevano vissuto la stessa esperienza, le consigliarono di ignorarla. Ma ad agosto il contenuto era diventato così voluminoso che la donna si è rivolta all’investigatore online Charles DeBarber, che in precedenza aveva aiutato altre vittime di deepfake, per chiedere aiuto. L’esperto ha osservato che ormai chiunque può realizzare un deepfake: la tecnologia è diventata molto accessibile. E anche se le leggi non riescono a tenere il passo con questi casi, questi si verificano sempre più spesso.

Nel frattempo, lo stalker continuava a scrivere a Chu. La insultò, la implorò di perdonarlo, la chiamò la sua “dea”. Su Instagram, “Ron” ha pubblicato foto e immagini deepfake, ha affermato di essere un fan e si è offerto di aprire un OnlyFans per conto di Chu. “Ron” ha scritto che stava guadagnando soldi con i deepfake che raffiguravano il suo volto e ha definito la cosa “arte”. Su Facebook, ha inviato lunghi messaggi in cui diceva di amare la sua “immagine virtuale” e di non essere interessato a Chu nella vita reale.

“Ron” ha addirittura ammesso di aver messo una maschera con il suo volto alla sua ragazza. I messaggi contenevano non solo confessioni bizzarre, ma anche frasi razziste e minacce. A un certo punto, ha scritto che la stava “rendendo immortale” e ha chiesto il permesso di continuare a pubblicare “immagini” di lei. Chu rispondeva occasionalmente ai messaggi, nella speranza di ottenere prove da inviare alla polizia. Ma non ha rivelato nulla di specifico.

A settembre lo stalker ha cancellato i suoi account, ma è ricomparso a ottobre con un altro nome e ha ricominciato tutto da capo. “Ron” ha addirittura utilizzato il nome cinese Chu, il che è risultato particolarmente offensivo per la donna, che da anni combatte l’oppressione delle donne asiatiche. Nei nuovi video, il volto di Chu è sovrapposto ai corpi degli adolescenti, causando ancora più ansia.

Successivamente, su Instagram è apparso un utente che ha scritto che “Ron” si era tolto la vita e che la colpa era della stessa Chu. L’utente ha difeso il comportamento di “Ron”, definendolo un “artista”. Nel corso di 10 mesi, Chu ha scoperto sempre più account che pubblicavano deepfake con il suo volto e il suo nome completo. Grazie all’aiuto di DeBarber, parte del contenuto è stato rimosso e ora il suo nome non compare più così spesso sui siti porno. Ma non tutto è scomparso: una parte è ancora online. Ma la paura rimaneva.

La storia di Chu dimostra come la tecnologia possa essere utilizzata per atti di bullismo distruttivi e duraturi. I deepfake non sono più solo uno scherzo o un falso su Internet. Questa è una forma di reato. E finora non esiste un modo affidabile per proteggere le vittime, né dalle leggi né dalle piattaforme. E le donne continuano a trovarsi ad affrontare questa situazione sempre più spesso, semplicemente perché hanno ottenuto successo e visibilità su Internet.

L'articolo Una attrice trova 2.000 video deepfake di se stessa online: l’incubo di Joanne Chu proviene da il blog della sicurezza informatica.

Eh sì amici miei, non lo sapevate, ma siamo i peggiori.

Siamo delle bruttissime persone. Orribili. Così raccapriccianti e temibili da farci definire "i peggiori" da parte di Trump.

Peggiori perché?

Perché abbiamo osato dire che, se ci avesse imposto dei dazi, li avremmo messi a nostra volta. E così, come se niente fosse, Trump ci ha messi tra i peggiori, affibbiandoci dazi del 20%, e ci è andata pure bene rispetto alla Cina che ne subirà il 30%.

Quindi, ricapitoliamo: è come se io dicessi a qualcuno che sto per dargli un pugno. Questo mi risponde che se glielo do me ne darà uno anche lui, e decido che l'altro è violento. E così, per difendermi, gli do un pugno per primo.
Non fa una grinza, che ne dite?

Il problema è che in questa sagra delle post-verità che è diventato il mondo, si rischia che chi vedrà la cosa a posteriori pensi davvero che il violento non sarei io, ma l'altro.

Comunque io, se fossi in voi, mi vergognerei un po'. Prendercela così tanto con un pover'uomo anziano (Trump) che, evidentemente, ha ormai varie rotelle fuori posto.

Cioè, non vi fate un po' schifo da soli, quando vi guardate allo specchio? Da oggi, io sì, perché sono tra i peggiori. Mica i terroristi, o chi invade un Paese straniero.

Noi, i peggiori.

#trump #dazi #tariffs #boycottusa #USA #tariffswar #guerradeidazi #Politica

S/Sgt Betty Vine-Stevens, Washington DC, May 1945.
On 31 March of this year we had to bid farewell to Charlotte Elizabeth “Betty” Webb (née Vine-Stevens) at the age of 101. She was one of the cryptanalysts who worked at Bletchley Park during World War 2, as well as being one of the few women who worked at Bletchley Park in this role. At the time existing societal biases held that women were not interested in ‘intellectual work’, but as manpower was short due to wartime mobilization, more and more women found themselves working at places like Bletchley Park in a wide variety of roles, shattering these preconceived notions.

Betty Webb had originally signed up with the Auxiliary Territorial Service (ATS), with her reasoning per a 2012 interview being that she and a couple of like-minded students felt that they ought to be serving their country, ‘rather than just making sausage rolls’. After volunteering for the ATS, she found herself being interviewed at Bletchley Park in 1941. This interview resulted in a years-long career that saw her working on German and Japanese encrypted communications, all of which had to be kept secret from then 18-year old Betty’s parents.

Until secrecy was lifted, all her environment knew was that she was a ‘secretary’ at Bletchley Park. Instead, she was fighting on the frontlines of cryptanalysis, an act which got acknowledged by both the UK and French governments years later.

Writing The Rulebook

Enigma machine
Although encrypted communications had been a part of warfare for centuries, the level and scale was vastly different during World War 2, which spurred the development of mechanical and electronic computer systems. At Bletchley Park these were the Bombe and Colossus computers, with the former being an electro-mechanical system. Both were used for deciphering German Enigma machine encrypted messages, with the tube-based Colossus taking over starting in 1943.

After enemy messages were intercepted, it was the task of these systems and the cryptanalysis experts to decipher them as quickly as possible. With the introduction of the Enigma machine by the Axis, this had become a major challenge. Since each message was likely to relate to a current event and thus time-sensitive, any delay in decrypting it would render the resulting decrypted message less useful. Along with the hands-on decrypting work, there were many related tasks to make this process work as smoothly and securely as possible.

Betty’s first task at Bletchley was to do the registering of incoming messages, which she began with as soon as she had been subjected to the contents of the Official Secrets Act. This forbade her from disclosing even the slightest detail of what she did or had seen at Bletchley, at the risk of severe punishment.

As was typical at Bletchley Park, each member of the staff there was kept as much in the dark of the whole as possible for operational security reasons. This meant that of the thousands of incoming messages per day, each had to be carefully kept in order and marked with a date and obfuscated location. She did see a Colossus computer once when it was moved into one of the buildings, but this was not one of her tasks, and snooping around Bletchley was discouraged for obvious reasons.

Paraphrasing

The Bletchley Park Mansion where Betty Webb worked initially before moving to Block F, which is now demolished. (Credit: DeFacto, Wikimedia)
Although Betty’s German language skills were pretty good thanks to her mother’s insistence that she’d be able to take care of herself whilst travelling on the continent, the requirements for the translators at Bletchley were much more strict, and thus eventually she ended up working in the Japanese section located in Block F. After decrypting and translating the enemy messages, the texts were not simply sent to military headquarters or similar, but had to be paraphrased first.

The paraphrasing task entails pretty much what it says: taking the original translated message and paraphrasing it so that the meaning is retained, but any clues about what the original message was from which it was paraphrased is erased. In the case that such a message then falls into enemy hands, via a spy at HQ, it is made much harder to determine where this particular information was intercepted.

Betty was deemed to be very good at this task, which she attributed to her mother, who encouraged her to relate stories in her own words. As she did this paraphrasing work, the looming threat of the Official Secrets Act encouraged those involved with the work to not dwell on or remember much of the texts they read.

In May of 1945 with the war in Europe winding down, Betty was transferred to the Pentagon in the USA to continue her paraphrasing work on translated Japanese messages. Here she was the sole ATS girl, but met up with a girl from Hull with whom she had to share a room, and bed, in the rundown Cairo hotel.

With the surrender of Japan the war officially came to an end, and Betty made her way back to the UK.

Secrecy’s Long Shadow

When the work at Bletchley Park was finally made public in 1975, Betty’s parents had sadly already passed away, so she was never able to tell them the truth of what she had been doing during the war. Her father had known that she was keeping a secret, but because of his own experiences during World War 1, he had shown great understanding and appreciation of his daughter’s work.

After keeping her secrets along with everyone else at Bletchley, the Pentagon and elsewhere, Betty wasn’t about to change anything about this. Her husband had never indicated any interest in talking about it either. In her eyes she had just done her duty and that was good enough, but when she got asked to talk about her experiences in 1990, this began a period in which she would not only give talks, but also write about her experiences. In 2015 Betty was appointed a Member of the Order of the British Empire (MBE) and in 2021 as a Chevalier de la Légion d’Honneur (Knight of the Legion of Honour) in France.

Today, as more and more voices from of those who experienced World War 2 and who were involved the heroic efforts to stop the Axis forces fall silent, it is more important than ever to recognize their sacrifices and ingenuity. Even if Betty Webb didn’t save the UK by her lonesome, it was the combined effort from thousands of individuals like her that cracked the Enigma encryption and provided a constant flow of intel to military command, saving countless lives in the process and enabling operations that may have significantly shortened the war.

Top image: A Colossus Mark 2 computer being operated by Dorothy Du Boisson (left) and Elsie Booker (right), 1943 (Credit: The National Archives, UK)

hackaday.com/2025/04/03/rememb…

Gli esperti hanno scoperto una piattaforma PhaaS (phishing-as-a-service) chiamata Lucid che ha attaccato 169 organizzazioni in 88 paesi utilizzando messaggi inviati tramite iMessage (iOS) e RCS (Android).

Gli analisti di Prodaft riferiscono che Lucid è nata a metà del 2023 ed è gestita da hacker cinesi del gruppo XinXin (noto anche come Black Technology). Lucid viene venduto ad altri aggressori tramite abbonamento, dando loro accesso a 1.000 domini di phishing, siti di phishing generati automaticamente e strumenti di invio di spam di livello professionale.

Si nota inoltre che in precedenza XinXin utilizzava la piattaforma Darcula per le sue operazioni, il che indica una potenziale connessione tra le due piattaforme PhaaS. Gli abbonamenti Lucid vengono venduti tramite un canale Telegram dedicato (con oltre 2.000 membri) e vengono forniti ai clienti con licenze settimanali. XinXin sostiene di inviare oltre 100.000 messaggi di phishing al giorno a potenziali vittime tramite Rich Communication Services (RCS) e Apple iMessage. Poiché i messaggi sono protetti dalla crittografia end-to-end, è possibile aggirare i filtri antispam.

“La piattaforma utilizza un meccanismo automatizzato per effettuare attacchi, distribuendo siti di phishing personalizzati, i cui link vengono distribuiti principalmente tramite esca SMS”, scrive Prodaft. “Per migliorare l’efficienza, Lucid sfrutta le tecnologie Apple iMessage e Android RCS per aggirare i tradizionali filtri antispam e migliorare significativamente la recapitabilità e l’efficacia.”

Per inviare messaggi, gli operatori Lucid utilizzano grandi quantità di dispositivi iOS e Android. Per lavorare con iMessage vengono utilizzati ID Apple temporanei, mentre per RCS gli aggressori sfruttano errori specifici nella convalida del mittente per determinati operatori.

Le campagne di phishing prendono di mira principalmente i paesi europei, il Regno Unito e gli Stati Uniti. I messaggi di phishing sono solitamente camuffati da notifiche di consegna, avvisi fiscali, notifiche di pagamento del parcheggio.

Ciò comporta l’utilizzo di tutti i loghi e marchi necessari, nonché del linguaggio appropriato, per soddisfare il target demografico e filtrare le vittime in base alla geolocalizzazione.

Quando le vittime cliccano sui link di phishing, vengono reindirizzate a false landing page che si spacciano per siti web governativi o del settore privato, tra cui USPS, DHL, Royal Mail, FedEx, Revolut, Amazon, American Express, HSBC, E-ZPass, SunPass, Transport for London e altri.

Queste pagine di phishing sono progettate per rubare informazioni personali e finanziarie, tra cui nomi completi, indirizzi e-mail, indirizzi fisici e dati delle carte di credito. Lucid offre ai propri clienti un validatore di carte bancarie affinché gli aggressori possano verificare immediatamente i dati rubati.

Le carte funzionanti vengono poi vendute ad altri criminali informatici o utilizzate per scopi fraudolenti.

L'articolo Phishing come se non ci fosse un domani! Arriva Lucid PhaaS, la piattaforma cinese per truffe globali proviene da il blog della sicurezza informatica.

La biografia definitiva di Robert Johnson. La mia recensione su Free Zone Magazine.
#libri #biografie #blues #RobertJohnson

Bruce Conforth, Gayle Dean Wardlow - Il diavolo, probabilmente. Vita di Robert Johnson | FREE ZONE MAGAZINE freezonemagazine.com/articoli/…

Bruce Conforth, Gayle Dean Wardlow - Il diavolo, probabilmente. Vita di Robert Johnson | FREE ZONE MAGAZINE

Robert Johnson è un bluesman fondamentale, e questo libro fa pulizia degli aspetti mitologici per approfondire il musicista.

^{FREE ZONE MAGAZINE}

It’s not often you’ll see us singing the praises of Microsoft on these pages, but credit where credit is due, this first-person account of how the software giant got its foot in the proverbial door by Bill Gates himself is pretty slick.

Now it’s not the story that has us excited, mind you. It’s the website itself. As you scroll down the page, the text and images morph around in a very pleasing and retro-inspired way. Running your cursor over the text makes it flip through random ASCII characters, reminding us a bit of the “decryption” effect from Sneakers. Even the static images have dithering applied to them as if they’re being rendered on some ancient piece of hardware. We don’t know who’s doing Billy’s web design, but we’d love to have them come refresh our Retro Edition.

Presentation aside, for those who don’t know the story: back in 1975, Gates and Paul Allen told the manufacturer of the Altair 8800 that they had a version of BASIC that would run on the computer and make it easier for people to use. Seeing the potential for increased sales, the company was very interested, and asked them to come give a demonstration of the software in a few weeks.

There was just one problem — Bill and Paul lied. They had never even seen an Altair in person, let alone wrote any code for one. So they set off on a mad dash to complete the project in time, with Allen famously still working on the code on the plane as they flew to the meeting. As you’ve probably guessed, they ended up pulling it off, and the rest is history.

At the very end of the page, you can download the actual source code for Altair BASIC that Gates and Allen co-delivered, presented as scans of the original printout. A little light reading as you wait to find out if that latest Windows update that’s installing is going to tell you that your machine is too old to use anymore.

hackaday.com/2025/04/03/a-very…

Mozilla ha rilasciato ufficialmente Firefox 137, risolvendo numerose vulnerabilità di sicurezza di elevata gravità che potrebbero consentire ad aggressori di eseguire codice arbitrario, innescare condizioni di negazione del servizio o elevare i privilegi sui sistemi interessati.

Questo aggiornamento di sicurezza critico, annunciato il 1° aprile 2025, corregge diversi bug di sicurezza della memoria e vulnerabilità di tipo use-after-free che presentavano rischi significativi per gli utenti delle versioni precedenti. La vulnerabilità più preoccupante corretta in questa versione è CVE-2025-3028, scoperta da Ivan Fratric di Google Project Zero.

Questa vulnerabilità ad alto impatto di tipo use-after-free potrebbe essere attivata quando il codice JavaScript viene eseguito durante la trasformazione di un documento con XSLTProcessor.

Se sfruttata, questa falla potrebbe consentire agli aggressori di eseguire codice arbitrario sul sistema della vittima. Il difetto interessava le versioni di Firefox precedenti alla 137, le versioni di Firefox ESR precedenti alla 115.22 e 128.9 e le versioni di Thunderbird precedenti alla 137 e 128.9. Mozilla lo ha risolto in Firefox 137 migliorando la gestione della memoria durante l’elaborazione XSLT.

Mozilla ha inoltre risolto il bug CVE-2025-3030, un bug critico per la sicurezza della memoria presente in Firefox 136 e altri prodotti Mozilla. Secondo i ricercatori di sicurezza Sylvestre Ledru, Paul Bone e il Mozilla Fuzzing Team, questi bug hanno evidenziato prove di corruzione della memoria e potrebbero essere potenzialmente sfruttati per eseguire codice arbitrario con un certo sforzo.

Le correzioni in Firefox 137 e Thunderbird 137 includono il rafforzamento dei controlli di sicurezza del compilatore JIT e la risoluzione delle condizioni di competizione nella gestione della memoria.

L'articolo Firefox 137 corregge bug pericolosi: Aggiorna subito per non essere a rischio! proviene da il blog della sicurezza informatica.