25 de junio de 2019

FIREFOX. Actualización crítica para mitigar su último 0-day (CVE-2019-11707)

Firefox ha liberado hoy las versiones 67.0.3 y ESR 60.7.1 para mitigar la explotación de su último zero-day, clasificado bajo el código CVE-2019-11707.
Los usuarios del navegador ya pueden actualizar su versión para parchear la última vulnerabilidad descubierta, clasificada bajo el código CVE-2019-11707. La vulnerabilidad permitía ejecución remota de código arbitrario en las máquinas afectadas por el fallo, lo que a su vez llevaba a la toma de control de la máquina por parte del atacante.
El investigador de ciberseguridad Samuel Groß, de ‘Project Zero’, el equipo de analistas de seguridad informática de Google, reportó esta vulnerabilidad que afecta a cualquiera que utilice la versión de escritorio de Firefox, ya sea en Windows, macOS o Linux. Sin embargo, los clientes de Firefox para Android, iOS y Amazon Fire TV, no se ven afectados por el fallo.
Según el anuncio del fabricante, el fallo de seguridad ha sido clasificado como una vulnerabilidad asociada a un error de confusión de tipos, que podía llevar a la caída del sistema debido al comportamiento de la instrucción Array.pop, que tiene lugar durante el manejo de objetos JavaScript. De este modo, un atacante podría crear una página web a la que dirigir a la víctima y ejecutar código arbitrario cuando se consiga disparar el error de confusión de tipos.
Hasta ahora aún no consta la publicación de ninguna prueba de concepto que explique los detalles técnicos de la vulnerabilidad o sus condiciones de explotación.
A pesar de que Firefox instala automáticamente las actualizaciones pertinentes, se recomienda igualmente a los usuarios que actualicen manualmente de inmediato sus clientes.
Más información:
Fuente: Hispasec