Mozilla, la compañía detrás del navegador Firefox, publicó una solución el miércoles para una vulnerabilidad de día cero que, según afirman, ha sido explotada. NIST enumera la vulnerabilidad como CVE-2024-9680y su estado de “pendiente de análisis”. Los usuarios de Firefox deben actualizar a la última versión del navegador y de las versiones de soporte extendido para proteger sus sistemas de posibles ataques.
Debido al uso generalizado de Firefox, este problema plantea un riesgo importante, especialmente para los sistemas que no se han actualizado. No se han publicado detalles específicos sobre los atacantes o los métodos de explotación, pero los posibles vectores de ataque incluyen descargas no autorizadas o sitios web maliciosos.
La falla de uso después de la liberación resalta las grietas en los lenguajes de programación que no son seguros para la memoria
El atacante encontró la falla de uso después de la liberación en las líneas de tiempo de animación, parte de una API que muestra animaciones en páginas web. Se produce un error de uso después de la liberación cuando una conexión en la memoria dinámica se deja abierta después de ya estando en uso. Puede surgir de un código escrito en un lenguaje de programación que no utiliza gestión automática de memoria, como C o C++. La recomendación del gobierno de Estados Unidos de no lenguajes no seguros para la memoria es un intento de prevenir este tipo de fallas.
VER: Lanzados tanto Microsoft como Apple correcciones importantes en el martes de parches de este mes.
“Hemos recibido informes de que esta vulnerabilidad ha sido explotada en estado salvaje”, escribió Mozilla.
“Una hora después de recibir la muestra, habíamos convocado a un equipo de ingenieros de seguridad, navegadores, compiladores y plataformas para aplicar ingeniería inversa al exploit, forzarlo a activar su carga útil y comprender cómo funcionaba”, escribió Tom Ritter, ingeniero de seguridad. en Mozilla, en un publicación de blog el 11 de octubre.
Mozilla implementó la solución en sólo 25 horas, señaló Ritter.
“Nuestro equipo continuará analizando el exploit para encontrar medidas de refuerzo adicionales que hagan que la implementación de exploits para Firefox sea más difícil y menos común”, escribió.
Esta no es la primera vez que Mozilla sufre un incidente cibernético. En 2015, una falla crítica permitió a los atacantes omitir la política del mismo origen del navegador y acceder a archivos locales. En 2019, la compañía corrigió una falla de día cero que los atacantes estaban explotando activamente para apoderarse de los sistemas engañando a los usuarios para que visitaran sitios maliciosos, lo que subraya la importancia de mantenerse actualizado con las últimas versiones del navegador.
Sin embargo, Mozilla emitió un aviso para solo otra vulnerabilidad crítica el año pasado, Trend Micro descubrió una vulnerabilidad de lectura o escritura fuera de límites en marzo.
Otros navegadores web han sido atacados en los últimos años.
En los últimos años, los ciberatacantes han explotado varios otros navegadores web:
- Google Chrome: Debido a su uso generalizado, Chrome ha sido un objetivo común. Por ejemplo, en 2022, Google parchó una grave vulnerabilidad de día cero relacionada con un Error de confusión de tipo en el motor JavaScript V8, que permitía la ejecución de código arbitrario.
- Borde de Microsoft: En 2021, una serie de vulnerabilidades permitieron a los atacantes llevar a cabo la ejecución remota de código, incluido un problema encontrado en el Componente WebRTC.
- Safari de Apple: Desde 2021, Apple ha parcheado una serie de vulnerabilidades de día ceroincluidos los que se utilizan para apuntar a usuarios de iPhone y Mac a través de WebKit, el motor que ejecuta Safari.
Cómo aplicar el parche de Mozilla
Las siguientes versiones incluyen el parche:
- Firefox 131.0.2.
- FirefoxESR 115.16.1.
- FirefoxESR 128.3.1.
Para actualizar su navegador, vaya a Configuración -> Ayuda -> Acerca de Firefox. Vuelva a abrir el navegador después de aplicar la actualización.
Cuando contactamos para hacer comentarios, Mozilla nos indicó su blog de seguridad.
