Bien, amigos, es hora de actualizar su navegador web Firefox una vez más, sí, por segunda vez esta semana.
Después de parchear una vulnerabilidad crítica explotada activamente en Firefox 67.0.3 a principios de esta semana, Mozilla ahora advierte a millones de sus usuarios sobre una segunda vulnerabilidad de día cero que se ha descubierto que los atacantes explotan en la naturaleza.
El problema recién parcheado (CVE-2019-11708) es una vulnerabilidad de «escape de la caja de arena», que si se encadena junto con el error de «confusión de tipo» parcheado anteriormente (CVE-2019-11707), permite a un atacante remoto ejecutar código arbitrario en las computadoras de las víctimas simplemente convenciéndolas de que visiten un sitio web malicioso.
El sandboxing del navegador es un mecanismo de seguridad que mantiene los procesos de terceros aislados y confinados al navegador, evitando que dañen otras partes sensibles del sistema operativo de una computadora.
«La verificación insuficiente de los parámetros pasados con el mensaje Aviso: abrir IPC entre los procesos secundarios y principales puede dar como resultado que el proceso principal que no está en la zona de pruebas abra el contenido web elegido por un proceso secundario comprometido», explica el aviso.
Firefox 0-Days encontrado explotado en la naturaleza
Mozilla ya ha estado al tanto del primer problema desde abril cuando un investigador de Google Project Zero lo informó a la compañía, pero se enteró del segundo problema y los ataques en la naturaleza la semana pasada cuando los atacantes comenzaron a explotar ambos defectos juntos para empleados objetivo de la plataforma Coinbase y usuarios de otras firmas de criptomonedas.
Justo ayer, el experto en seguridad de macOS, Patrick Wardle, también publicó un informe que revela que una campaña separada contra los usuarios de criptomonedas también está utilizando los mismos días cero de Firefox para instalar un malware de macOS en las computadoras seleccionadas.
En este momento no está claro si los atacantes descubrieron de forma independiente la primera vulnerabilidad justo a tiempo cuando ya se informó a Mozilla o si obtuvieron información clasificada de informe de errores de otra manera.
Instale parches de Firefox para prevenir ataques cibernéticos
De todos modos, la compañía ahora lanzó Firefox versión 67.0.4 y Firefox ESR 60.7.2 que abordan ambos problemas, evitando que los atacantes tomen el control de sus sistemas de forma remota.
Aunque Firefox instala las últimas actualizaciones disponibles automáticamente, se recomienda a los usuarios que se aseguren de ejecutar Firefox 67.0.4 o posterior.
Además de esto, al igual que el parche para el número anterior, también se espera que Tor Project lance una nueva versión de su navegador de privacidad muy pronto para corregir el segundo error también.
Actualización importante (21/06/2019) ➤ El proyecto Tor el viernes también lanzó la segunda actualización (Tor Browser 8.5.3) para su navegador web de privacidad esta semana que corrige la segunda vulnerabilidad que Firefox parchó ayer.