Si ets usuari de Firefox, deixa dir-te que és hora d'actualitzar el teu navegador si o si. I que recentment s'ha descobert una vulnerabilitat de l'tipus zero day al navegador i s'explota activament en atacs dirigits.
La bretxa de seguretat es va revelar a través del Projecte Zero de Google i afecta totes les versions del Firefox. No obstant això, la bona notícia és que hi ha un pedaç disponible des del 18 de juny a les versions Firefox 67.0.3 i Firefox ESR 60.7.1.
A més, Mozilla recomana encaridament als usuaris que realitzin una actualització.
Sobre la decisió de seguretat
En un butlletí de seguretat, els enginyers de Mozilla van donar algunes explicacions sobre la naturalesa de la falla.
Per exemple, expliquen que aquesta és una vulnerabilitat que es pot activar a l'manipular elements de JavaScript a causa de problemes en el mètode Array.pop (que elimina l'últim element d'una matriu de JavaScript).
També s'informa que el error es beneficia de la confusió sobre el tipus de dades en JavaScript.
«Es pot produir una vulnerabilitat de tipus confusió quan es manegen objectes de JavaScript causa de problemes trobats en Array.pop. Això pot conduir a un accident explotable. Som conscients dels atacs dirigits que exploten aquesta falla «, diu la nota explícitament vaga.
A part de la breu descripció publicada al lloc de Mozilla, no hi ha altres detalls sobre aquesta vulnerabilitat de seguretat o atacs en curs.
Després d'una sol·licitud de detalls addicionals, esmenten que l'error podria explotar-se per a una execució remota de codi (RCE), però després requeriria una fuita separat de la sandbox per executar el codi en un subsistema subjacent.
«No obstant això, és probable que també pugui ser explotat per a l'ús de scripts creuats, el que pot ser suficient depenent dels objectius de l'atacant», van afegir.
Les seqüències d'ordres entre llocs (abreujades com XSS) són un tipus de defecte de seguretat del lloc web que permet que el contingut s'injecti en una pàgina, el que provoca accions en els navegadors web que visiten la pàgina.
Les possibilitats de XSS són molt àmplies, ja que l'atacant pot utilitzar tots els idiomes compatibles amb el navegador (JavaScript, Java, Flash ...) i es descobreixen noves possibilitats amb regularitat, especialment amb l'arribada de noves tecnologies com HTML5.
Per exemple, és possible redirigir a un altre lloc per phishing o robar la sessió mitjançant la recuperació de cookies.
D'altra banda també argumenten que no tenen detalls a al moment sobre com es feia servir aquesta fallada zero day en el navegador que Coinbase Security podria aprendre més sobre els atacs descoberts.
«No tinc idea de la part relacionada amb l'explotació activa. Vaig trobar i informe l'error el 15 d'abril «, va dir un investigador de seguretat de Google.
No obstant això, alguns podrien dir que, en funció de l'altra entitat que va informar el forat de seguretat (Coinbase Security), podem suposar que aquest forat de seguretat es va explotar durant els atacs a propietaris de moneda digital.
Com actualitzar el navegador Firefox a Linux?
Per poder actualitzar a aquesta les noves versions correctives de el navegador i fins i tot instal·lar en cas de no comptar amb aquest, podran fer-ho seguint les instruccions que compartim a continuació.
Usuaris d'Ubuntu, Linux Mint o algun altre derivat d'Ubuntu, poden instal·lar o actualitzar a aquesta nova versió amb ajuda de l'PPA de el navegador.
Aquest el poden afegir a sistema obrint una terminal i executant en ella la següent comanda:
sudo add-apt-repository ppa:ubuntu-mozilla-security/ppa -y && sudo apt-get update
Fet això ara només s'han d'instal·lar amb:
sudo apt install firefox
Per al cas dels usuaris d'Arch Linux i derivats, Només cal executar en un terminal:
sudo pacman -Syu
O per instal·lar amb:
sudo pacman -S firefox
Per a la la resta de les distribucions de Linux, poden descarregar els paquets binaris des de la el següent enllaç.
Una altra forma d'actualitzar el navegador a l'última versió és obrint el navegador i donant clic al signe d'interrogació a la barra de menú.
Aquí anem a seleccionar «Quant al Firefox» i amb això s'iniciarà automàticament la descàrrega i instal·lació de la nova versió.
Les edicions correctives publicades del Firefox són la 67.0.3 i 60.7.1, en què es va solucionar la vulnerabilitat crítica (CVE-2019-11707).