Firefox ha liberado hoy las versiones
67.0.3 y ESR 60.7.1 para mitigar la explotación de su último zero-day,
clasificado bajo el código CVE-2019-11707.
Los usuarios del navegador ya pueden
actualizar su versión para parchear la última vulnerabilidad descubierta,
clasificada bajo el código CVE-2019-11707. La vulnerabilidad permitía ejecución
remota de código arbitrario en las máquinas afectadas por el fallo, lo que a su
vez llevaba a la toma de control de la máquina por parte del atacante.
El investigador de ciberseguridad
Samuel Groß, de ‘Project Zero’, el equipo de analistas de seguridad informática
de Google, reportó esta vulnerabilidad que afecta a cualquiera que utilice la
versión de escritorio de Firefox, ya sea en Windows, macOS o Linux. Sin
embargo, los clientes de Firefox para Android, iOS y Amazon Fire TV, no se ven
afectados por el fallo.
Según el anuncio del fabricante, el
fallo de seguridad ha sido clasificado como una vulnerabilidad asociada a un
error de confusión de tipos, que podía llevar a la caída del sistema debido al
comportamiento de la instrucción Array.pop, que tiene lugar durante el manejo
de objetos JavaScript. De este modo, un atacante podría crear una página web a
la que dirigir a la víctima y ejecutar código arbitrario cuando se consiga
disparar el error de confusión de tipos.
Hasta ahora aún no consta la
publicación de ninguna prueba de concepto que explique los detalles técnicos de
la vulnerabilidad o sus condiciones de explotación.
A pesar de que Firefox instala
automáticamente las actualizaciones pertinentes, se recomienda igualmente a los
usuarios que actualicen manualmente de inmediato sus clientes.
Más información:
- Mozilla
Foundation Security Advisory 2019-18 https://www.mozilla.org/en-US/security/advisories/mfsa2019-18/
Fuente: Hispasec