El día de ayer uno de nuestros compañeros informaba sobre algunos fallos encontrados que afectan a todas las versiones de Firefox pues se descubrió una vulnerabilidad del tipo zero day en el navegador y se explota activamente en ataques dirigidos. La brecha de seguridad se reveló a través del Proyecto Cero de Google y afecta a todas las versiones de Firefox.
Ahora un día después, nuevamente Mozilla pide a todos los usuarios del navegador actualizar nuevamente a una nueva versión superior la cual ya liberada, esto con el motivo de que se descubrió una segunda vulnerabilidad zero day en el navegador.
Un segundo fallo zero day en Firefox
Mozilla ha lanzado Firefox 67.0.4 para corregir una vulnerabilidad de seguridad que se ha utilizado en ataques dirigidos contra firmas de criptomonedas como Coinbase. Los usuarios de Firefox deben instalar inmediatamente esta actualización.
Situados detrás de Firefox 67.0.3 y 60.7.1, se publicaron las versiones correctivas adicionales 67.0.4 y 60.7.2, que eliminaron la segunda vulnerabilidad zero day (CVE-2019-11708), que permite eludir el mecanismo de aislamiento de la sandbox del navegador.
El problema permite usar el comando solicitar abrir la manipulación de llamadas IPC para abrir contenido web en un proceso secundario que no usa un sandbox.
Combinado con otra vulnerabilidad, este problema le permite omitir todos los niveles de protección y organizar la ejecución del código en el sistema.
Antes de ser reparadas, las vulnerabilidades identificadas en las dos últimas versiones de Firefox se utilizaron para organizar un ataque contra los empleados de intercambio de criptomonedas Coinbase y también se utilizaron para propagar malware para la plataforma macOS.
La verificación insuficiente de los parámetros pasados con el Prompt:Open mensaje de IPC entre los procesos hijo y padre puede provocar que el proceso padre que no está en un espacio aislado abra el contenido web elegido por un proceso hijo comprometido. Cuando se combina con vulnerabilidades adicionales, esto podría resultar en la ejecución de código arbitrario en la computadora del usuario.
Esta semana, Mozilla lanzó Firefox 67.0.3 para corregir una vulnerabilidad crítica de ejecución remota de código que se estaba usando en ataques dirigidos.
Desde su lanzamiento, se descubrió que la vulnerabilidad y otra desconocida se encadenaron como parte de un ataque de suplantación de identidad para eliminar y ejecutar cargas maliciosas en las máquinas de la víctima.
Se alega que la información sobre la primera vulnerabilidad fue enviada a Mozilla por un participante de Google Project Zero el 15 de abril y reparada el 10 de junio en la versión beta de Firefox 68 (probablemente los atacantes analizaron la solución publicada y prepararon el exploit utilizando otra vulnerabilidad para evitar el aislamiento de la zona de pruebas) .
¿Cómo actualizar el navegador Firefox en Linux?
Para poder actualizar a esta las nuevas versiones correctivas del navegador e incluso instalar en caso de no contar con este, podrán hacerlo siguiendo las instrucciones que compartimos a continuación.
Usuarios de Ubuntu, Linux Mint o algun otro derivado de Ubuntu, pueden instalar o actualizar a esta nueva versión con ayuda del PPA del navegador.
Este lo pueden añadir al sistema abriendo una terminal y ejecutando en ella el siguiente comando:
sudo add-apt-repository ppa:ubuntu-mozilla-security/ppa -y
sudo apt-get update
Hecho esto ahora solo tienen que instalar con:
sudo apt install firefox
Para el resto de las distribuciones de Linux, pueden descargar los paquetes binarios desde el siguiente enlace.
O verificar si la nueva versión ya fue incorporada dentro de los repositorios de tu distro.
Otra forma de actualizar el navegador a la última versión es abriendo el navegador aquí los usuarios pueden buscar manualmente nuevas actualizaciones en el menú de Firefox -> Ayuda -> Acerca de Firefox . Firefox buscará automáticamente una nueva actualización y la instalará.
También se espera que la corrección de errores de Firefox para el segundo fallo zero day descubierto lleguen al navegador Tor en los próximos días.
Ya que el día de hoy, el equipo del Navegador Tor se actualizó a la versión 8.5.2, que incluye la solución para el primer error zero day que se detecto en la rama de Firefox.
Fuente: ubunlog
