Nivel de Criticidad: CRÍTICO
Mozilla ha lanzado una actualización de su navegador Firefox para corregir una nueva vulnerabilidad zero-day. La vulnerabilidad la ha notificado la firma china Quihoo 360, que notificó que el fallo se estaba explotando junto a otro zero-day del navegador de Microsoft, Internet Explorer.
La vulnerabilidad es la siguiente:
- CVE-2019-17026
Esta vulnerabilidad consiste en una información de alias incorrecta en el compilador JIT de IonMonkey para configurar los elementos de la matriz, lo cual podría llevar a una confusión de tipos.
IonMonkey es el compilador Just-in-Time (JIT) para el motor JavaScript SpiderMonkey de Firefox. Normalmente, se produce una vulnerabilidad de confusión de tipos cuando el código no verifica a qué objetos se pasa y lo usa a ciegas sin verificar su tipo, lo que facilita a un posible atacante bloquear la aplicación o logar la ejecución del código.
Al tratarse de un zero-day, la base de datos de la base de datos del NIST aún no ha registrado la vulnerabilidad identificada como CVE-2019-17026, por tanto no dispone de puntuación según la escala CVSS. No obstante, en el aviso publicado por Mozilla, éste la ha calificado como crítica y confirma que efectivamente se está explotando activamente en la red.
La corrección de este fallo de seguridad se realiza mediante la actualización a Firefox 72.0.1 o Firefox ESR 68.4.1, versiones ya lanzadas por la compañía y disponibles para los usuarios.
Recursos afectados
- Todas las versiones anteriores a Firefox 72.0.1 y Firefox ESR 68.4.1 (Windows, macOS y Linux)
Medidas de mitigación
El CERT de Entelgy Innotec Security recomienda mantener siempre los sistemas actualizados con las últimas revisiones de seguridad, para así evitar la exposición a ataques. Si bien los usuarios de Firefox deberían recibir las actualizaciones automáticamente (si esta opción está activada) estas también se encuentran disponibles como descargas independientes desde el sitio web oficial de Mozilla:
- Firefox 72.0.1: https://www.mozilla.org/en-US/firefox/72.0.1/releasenotes/
- Firefox ESR 68.4.1: https://www.mozilla.org/en-US/firefox/68.4.1/releasenotes/
Referencias