Hace sólo un día fue descubierta una vulnerabilidad en Firefox, a través de un usuario ruso que se encontró con una página web (al parecer hospedada en Ucrania), que aprovechaba una falla en el lector PDF que está integrado en el navegador. El exploit aprovechaba una publicidad en una página de noticias generalista. Esta mañana Mozilla ha lanzado una actualización de seguridad para todos los usuarios.
La vulnerabilidad se producía a través del JavaScript usado para el lector de PDF de Firefox, por lo que aquellos productos Mozilla que no cuentan con él, no estarían en riesgo (como Firefox para Android). De todas formas, el fallo no provoca la ejecución de código arbitrario, pero sí que es capaz de inyectar código JavaScript en la máquina del usuario, lo que permitiría realizar una búsqueda y subir archivos peligrosos al directorio local.
En Windows y Linux permitía el acceso a archivos de configuración de Filezilla, como así de otros clientes FTP populares, también podría acceder a archivos de configuración y claves .ssh. Y si bien no se ha detectado que pudiera acceder a las mismas configuraciones de usuarios Mac, eso no garantiza que otra persona pudiera desarrollar un exploit que afectara a estos. De todas formas, al parecer aquellos usuarios que tengan algún software o complemento de bloqueo de publicidad estarían a salvo de esta vulnerabilidad.
Es por eso que Mozilla ha lanzado esta misma mañana una actualización para Firefox final, como así también su versión ESR (de soporte extendido), algo que no suele ser habitual y que demuestra que Mozilla se toma muy en serio este tipo de vulnerabilidades.
Puedes ver más información en el blog de Mozilla [en] y en la página de avisos de seguridad [en].
Fuente: mozilla-hispano
