Esta noche empezaba a llegar a todos los usuarios una nueva actualización a Firefox, concretamente la versión 67.0.3, una actualización menor de la que, hasta algunas horas después no se daban a conocer muchos detalles. Esta actualización llegaba como un parche de emergencia para todos los usuarios de la versión 67 (y 60 ESR) para corregir una grave vulnerabilidad crítica del tipo 0-day recién descubierta en el navegador, un fallo que permite a cualquier atacante tomar el control de cualquier ordenador que utilice este navegador y del que debemos protegernos lo antes posible.
Este nuevo fallo de seguridad ha sido considerado como crítico tanto por Mozilla como por el investigador de seguridad que lo ha encontrado, Samuel Groß, miembro de Google Project Zero y del departamento de seguridad de Coinbase.
Esta vulnerabilidad ha sido registrada como CVE-2019-5786 y afecta a todos los usuarios de Firefox, tanto en Windows como en macOS y Linux, en 32 y 64 bits, incluso los que utilizaban la última versión hasta entonces, Firefox 67.0.2. Además, este fallo de seguridad estaba siendo explotado de forma masiva por Internet, lo que aumenta la importancia de actualizar los navegadores cuanto antes. En un principio, este fallo de seguridad parece no afectar ni a Android ni a iOS.
Tal como explica Mozilla, el fallo se debe a una confusión de tipo cuando se manipulan objetos JavaScript dentro del Array.pop, causando un error en el sistema que puede ser explotado con otras herramientas para lograr ejecutar código en la memoria o instalar software sin necesidad de interacción por parte del usuario.
Cómo actualizar Firefox y protegernos de esta grave vulnerabilidad 0-day
La nueva versión del navegador de Mozilla, Firefox 67.0.3, ya está llegando a todos los usuarios como una actualización más. Si ya tenemos instalada la versión 67 del navegador recibiremos el parche de forma automática mientras utilizamos el navegador, y este se instalará automáticamente nada más cerrarlo y volver a abrirlo.
Si queremos forzar la descarga de forma manual, simplemente debemos abrir el menú de «Opciones > Ayuda > Acerca de Firefox» para comprobar la versión que tenemos. Si esta no es la 67.0.3, la actualización se descargará automáticamente, se instalará y ya quedaremos protegidos.
Si somos usuarios de Firefox ESR, también es necesario asegurarnos de tener instalada la versión 60.7.1 del navegador. Para descargarla los pasos son los mismos que acabamos de ver. Aunque el investigador de seguridad no lo ha confirmado, se cree que los demás navegadores basados en Firefox también están afectados por el mismo problema.
Si aún no tenemos Firefox y estamos pensando en probar este navegador, con descargarlo desde su página web principal ya estaremos bajando la nueva versión actualizada que nos protegerá frente a estas vulnerabilidades.
Fuente: https://www.redeszone.net/