Firefox lanza una actualización crítica para detener los ataques de día cero en curso

Firefox lanza una actualización crítica para detener los ataques de día cero en curso
Actualizar Firefox
Modificado por última vez en Jueves, 20 Junio 2019 12:32
(0 votos)

Si usas el navegador web Firefox, debes actualizarlo ahora mismo

Mozilla lanzó ayer las versiones de Firefox 67.0.3 y Firefox ESR 60.7.1 para corregir una vulnerabilidad crítica de día cero en el software de navegación que han encontrado está siendo explotada en la actualidad por los hackers.

Descubierta e informada por Samuel Groß, un investigador de ciberseguridad en Google Project Zero, la vulnerabilidad podría permitir a los atacantes ejecutar de forma remota código arbitrario en máquinas que ejecutan versiones vulnerables de Firefox y tomar el control total de ellas.

La vulnerabilidad, identificada como CVE-2019-11707, afecta a cualquier persona que use Firefox en el escritorio (Windows, macOS y Linux), mientras que no se ven afectados Firefox para Android, iOS y Amazon Fire TV.

Según un aviso, la falla se ha etiquetado en Firefox como una vulnerabilidad de tipo confusión que puede provocar una falla explotable debido a problemas en Array.pop que pueden ocurrir al manipular objetos de JavaScript.

En el momento de redactar este artículo, ni el investigador ni Mozilla han publicado para esta falla ningún detalle técnico adicional o prueba de concepto.

A pesar de que Firefox instala automáticamente las últimas actualizaciones y activa la nueva versión después de un reinicio, aún se recomienda a los usuarios asegurarse de que están ejecutando las últimas versiones de Firefox 67.0.3 y Firefox (versión de soporte ampliado) 60.7.1 o posterior.

Actualización

Más tarde, el investigador compartió algunos detalles más sobre la falla, diciendo que la vulnerabilidad reportada conduce principalmente a ataques de secuencias de comandos en sitios cruzados universales (UXSS), pero si se combina con un problema de escape de sandbox, también podría permitir que los atacantes ejecuten Código arbitrario de forma remota en un sistema de destino.

"No tengo ningún conocimiento sobre la parte de explotación activa. Encontré y luego informé el error el 15 de abril. La primera solución pública se realizó hace aproximadamente una semana (las soluciones de seguridad se retienen hasta cerca de la próxima versión)", dijo Groß en Twitter.

"El error se puede explotar para RCE, pero luego se necesitaría un escape separado del sandbox. Sin embargo, lo más probable es que también se pueda explotar para UXSS, lo que podría ser suficiente dependiendo de los objetivos del atacante".


Comentarios (0)

No hay comentarios escritos aquí

Deja tus comentarios

  1. Publicar comentario como invitado. Regístrate o ingresaa tu cuenta
Archivos adjuntos (0 / 3)
Compartir su ubicación