Lanzamientos de actualizaciones de Firefox con el parche de vulnerabilidad CVE-2019-17026
La nueva actualización de Mozilla Firefox se ha implementado con la corrección de una vulnerabilidad de día cero etiquetada como CVE-2019-17026 que fue explotada activamente en la naturaleza. La vulnerabilidad permite a los atacantes que explotan el navegador tomar el control completo sobre el sistema infectado.
Aquí está la notificación emitida por la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) del Departamento de Seguridad Nacional de los Estados Unidos:
“Mozilla ha lanzado actualizaciones de seguridad para abordar la vulnerabilidad en Firefox y Firefox ESR. Un atacante podría aprovechar esta vulnerabilidad para tomar el control de un sistema afectado. Esta vulnerabilidad se detectó en exploits en la naturaleza “.
En realidad, esto indica cuán crítica fue la vulnerabilidad. La actualización de Firefox con las soluciones de esta vulnerabilidad se lanzó el 8 de enero justo después de otra actualización importante, la versión 72, el 7 de enero, que solucionó la vulnerabilidad de seguridad 11. Todos los usuarios de Firefox deben parchear inmediatamente el navegador con la última actualización, que es 72.0.1 para Firefox y 68.4.1 Firefox ESR.
Desde donde ocurre la vulnerabilidad
Mozilla Firefox es el navegador más popular y el segundo más utilizado después de Google Chrome. Según las últimas estadísticas, está tomando el 9,54% de la cuota de mercado en el negocio. Esta puede ser la razón por la cual la actualización se centra sinceramente y el instituto con sede en el gobierno aconseja a los usuarios que instalen la última actualización de Firefox con el parche de la vulnerabilidad de día cero.
Qihoo 360, una empresa de seguridad china descubrió esta falla CVE-2019-17026 del navegador Firefox. No se publicaron hallazgos de la amenaza Intelligence Company y no se revelaron detalles a quienes intentaron contactar a la empresa. Lo que se sabe es que la vulnerabilidad ocurre cuando el recurso que el programa asigna o inicializa no encuentra ninguna coincidencia con lo que los recursos originalmente usaron en él. En otras palabras, alguna ejecución remota de código podría usarse para acceder al programa.
Lo único que se sabe actualmente, como se explica en el aviso de Mozilla:
“La información de alias incorrecta en el compilador JIT de IonMonkey para configurar los elementos de la matriz podría generar una confusión de tipos”.
Las vulnerabilidades de día cero son muy peligrosas
Las vulnerabilidades de día cero de un programa son aquellos errores que el desarrollador u otros miembros de la comunidad de seguridad de la información aún no han descubierto y que están siendo utilizados por actores maliciosos en la naturaleza. Los hackers pueden utilizar esos errores y explotar cualquier cosa sin limitaciones. Recientemente, las dos vulnerabilidades de Firefox que se han parcheado afectaron la versión de Mac OS del navegador y permitieron a los hackers crear puertas traseras para el intercambio de criptomonedas.