Firefox lanza una actualización de parche crítico para detener los ataques continuos de día cero

parche de actualización de mozilla firefox

Actualización importante [21 June 2019]Mozilla lanzó el jueves otra actualización de Firefox versión 67.0.4 para parchear una segunda vulnerabilidad de día cero.

Si usa el navegador web Firefox, debe actualizarlo ahora mismo.

Mozilla lanzó hoy las versiones Firefox 67.0.3 y Firefox ESR 60.7.1 para parchear una vulnerabilidad crítica de día cero en el software de navegación que los piratas informáticos han descubierto explotando en la naturaleza.

Descubierta e informada por Samuel Groß, un investigador de seguridad cibernética en Google Project Zero, la vulnerabilidad podría permitir a los atacantes ejecutar de forma remota código arbitrario en máquinas que ejecutan versiones vulnerables de Firefox y tomar el control total de ellas.

La vulnerabilidad, identificada como CVE-2019-11707afecta a cualquiera que use Firefox en el escritorio (Windows, macOS y Linux); Firefox para Android, iOS y Amazon Fire TV no se ven afectados.

Según un aviso, la falla ha sido etiquetada como una vulnerabilidad de confusión de tipos en Firefox que puede resultar en un bloqueo explotable debido a problemas en Array.pop que pueden ocurrir al manipular objetos de JavaScript.

Al momento de escribir este artículo, ni el investigador ni Mozilla han publicado más detalles técnicos o pruebas de concepto para esta falla.

A través de Firefox, instala automáticamente las últimas actualizaciones y activa la nueva versión después de un reinicio, se recomienda a los usuarios que se aseguren de estar ejecutando la última versión de Firefox 67.0.3 y Firefox (versión de soporte extendido) 60.7.1 o posterior.

Actualizar

Más tarde, el investigador compartió algunos detalles más sobre la falla con The Hacker News, y dijo que la falla informada conduce principalmente a ataques Universal Cross-site Scripting (UXSS), pero si se combina con un problema de escape de sandbox, también podría permitir a los atacantes ejecutar código arbitrario de forma remota en un sistema objetivo.

«No tengo información sobre la parte de explotación activa. Encontré y luego informé el error el 15 de abril. La primera solución pública llegó hace aproximadamente una semana (las correcciones de segundos se retrasan hasta cerca de la próxima versión):» Groß dijo en Gorjeo.

«El error se puede explotar para RCE, pero luego necesitaría un escape de sandbox por separado. Sin embargo, lo más probable es que también se pueda explotar para UXSS, lo que podría ser suficiente dependiendo de los objetivos del atacante».

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática