Si eres usuario de Firefox, déjame decirte que es hora de actualizar tu navegador si o si. Y que recientemente se ha descubierto una vulnerabilidad del tipo zero day en el navegador y se explota activamente en ataques dirigidos.
La brecha de seguridad se reveló a través del Proyecto Cero de Google y afecta a todas las versiones de Firefox. Sin embargo, la buena noticia es que hay un parche disponible desde el 18 de junio en las versiones Firefox 67.0.3 y Firefox ESR 60.7.1.
Además, Mozilla recomienda encarecidamente a los usuarios que realicen una actualización.
Sobre el fallo de seguridad
En un boletín de seguridad, los ingenieros de Mozilla dieron algunas explicaciones sobre la naturaleza de la falla.
Por ejemplo, explican que esta es una vulnerabilidad que se puede activar al manipular elementos de JavaScript debido a problemas en el método Array.pop (que elimina el último elemento de una matriz de JavaScript).
También se informa que el error se beneficia de la confusión sobre el tipo de datos en JavaScript.
«Se puede producir una vulnerabilidad de tipo confusión cuando se manejan objetos de JavaScript debido a problemas encontrados en Array.pop. Esto puede conducir a un accidente explotable. Somos conscientes de los ataques dirigidos que explotan esta falla «, dice la nota explícitamente vaga.
Aparte de la breve descripción publicada en el sitio de Mozilla, no hay otros detalles sobre esta vulnerabilidad de seguridad o ataques en curso.
Luego de una solicitud de detalles adicionales, mencionan que el error podría explotarse para una ejecución remota de código (RCE), pero luego requeriría un escape separado de la sandbox para ejecutar el código en un subsistema subyacente.
«Sin embargo, es probable que también pueda ser explotado para el uso de scripts cruzados, lo que puede ser suficiente dependiendo de los objetivos del atacante», agregaron.
Las secuencias de comandos entre sitios (abreviadas como XSS) son un tipo de defecto de seguridad del sitio web que permite que el contenido se inyecte en una página, lo que provoca acciones en los navegadores web que visitan la página.
Las posibilidades de XSS son muy amplias, ya que el atacante puede usar todos los idiomas compatibles con el navegador (JavaScript, Java, Flash …) y se descubren nuevas posibilidades con regularidad, especialmente con la llegada de nuevas tecnologías como HTML5.
Por ejemplo, es posible redirigir a otro sitio para phishing o robar la sesión mediante la recuperación de cookies.
Por otro lado también argumentan que no tienen detalles al momento sobre cómo se usaba este fallo zero day en el navegador que Coinbase Security podría aprender más sobre los ataques descubiertos.
«No tengo idea de la parte relacionada con la explotación activa. Encontré y reporté el error el 15 de abril «, dijo un investigador de seguridad de Google.
Sin embargo, algunos podrían decir que, en función de la otra entidad que informó el agujero de seguridad (Coinbase Security), podemos suponer que este agujero de seguridad se explotó durante los ataques a propietarios de criptomonedas.
¿Cómo actualizar el navegador Firefox en Linux?
Para poder actualizar a esta las nuevas versiones correctivas del navegador e incluso instalar en caso de no contar con este, podrán hacerlo siguiendo las instrucciones que compartimos a continuación.
Usuarios de Ubuntu, Linux Mint o algun otro derivado de Ubuntu, pueden instalar o actualizar a esta nueva versión con ayuda del PPA del navegador.
Este lo pueden añadir al sistema abriendo una terminal y ejecutando en ella el siguiente comando:
sudo add-apt-repository ppa:ubuntu-mozilla-security/ppa -y && sudo apt-get update
Hecho esto ahora solo tienen que instalar con:
sudo apt install firefox
Para el caso de los usuarios de Arch Linux y derivados, basta con ejecutar en una terminal:
sudo pacman -Syu
O para instalar con:
sudo pacman -S firefox
Para el resto de las distribuciones de Linux, pueden descargar los paquetes binarios desde el siguiente enlace.
Otra forma de actualizar el navegador a la última versión es abriendo el navegador y dando clic en el signo de interrogación en la barra de menú.
Aquí vamos a seleccionar «Acerca de Firefox» y con ello se iniciará automáticamente la descarga e instalación de la nueva version.
Las ediciones correctivas publicadas de Firefox son la 67.0.3 y 60.7.1, en las que se solucionó la vulnerabilidad crítica (CVE-2019-11707).