Mozilla parchó dos vulnerabilidades zero-day del navegador Firefox explotadas activamente en la naturaleza. Las fallas, ambas errores sin uso, han sido parte de «ataques dirigidos en la naturaleza», según el aviso de seguridad Mozilla Foundation Security Advisory 2020-11.
Ambas vulnerabilidades fueron reportadas por los investigadores de seguridad Francisco Alonso y Javier Marcos de JMP Security. Los fallos tienen clasificaciones críticas y permiten a los atacantes remotos ejecutar código arbitrario o provocar bloqueos en máquinas que ejecutan versiones anteriores a Firefox 74.0.1 y su versión de soporte extendido Firefox ESR 68.6.1. Los errores afectan las versiones del navegador Firefox que se ejecutan en los sistemas operativos Windows, macOS y Linux.
La primera vulnerabilidad, rastreada como CVE-2020-6819, es una vulnerabilidad vinculada al componente del navegador «destructor nsDocShell». Firefox nsDocShell es un cliente de la API nsI-HttpChannel, una función del navegador relacionada con la lectura de encabezados HTTP.
La segunda vulnerabilidad, rastreada como CVE-2020-6820, también es un error sin uso que se explota activamente en la naturaleza. En este caso, los atacantes apuntan al componente del navegador Firefox ReadableStream, una interfaz de la API de Streams. La API de Streams es «responsable de dividir un recurso que desea recibir en una red en pequeños trozos», según Mozilla.
«La explotación exitosa de la más grave de estas vulnerabilidades podría permitir la ejecución de código arbitrario», según un boletín del Centro de Seguridad de Internet. «Dependiendo de los privilegios asociados con el usuario, un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con plenos derechos de
usuario. Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema podrían verse menos afectados que aquellos que operan con derechos de usuario administrativos «.
Los parches están disponibles para múltiples versiones del navegador Firefox, incluidos:
- Firefox 74.0.1 para Windows de 64 bits
- Firefox 74.0.1 para Windows de 32 bits
- Firefox 74.0.1 para macOS
- Firefox 74.0.1 para Linux de 64 bits
- Firefox 74.0.1 para Linux de 32 bits
Telconet como proveedor de servicios de telecomunicaciones, consciente de la importancia de resguardar integridad y disponibilidad de su red, recomienda:
Actualizar a las últimas versiones disponibles:
Para mayor información:
https://www.mozilla.org/en-US/security/advisories/mfsa2020-11/
https://threatpost.com/firefox-zero-day-flaws-exploited-in-the-wild-get-patched/154466/