Vulnerabilidades K2

Contacto

Viernes, 10 Enero 2020 12:07

Mozilla Firefox publica una vulnerabilidad zero-day en su navegador

Entelgy Innotec CERT avisa de la publicación de una vulnerabilidad zero-day en el navegador Firefox.

Nivel de Criticidad: CRÍTICO

Mozilla ha lanzado una actualización de su navegador Firefox para corregir una nueva vulnerabilidad zero-day. La vulnerabilidad la ha notificado la firma china Quihoo 360, que notificó que el fallo se estaba explotando junto a otro zero-day del navegador de Microsoft, Internet Explorer.

La vulnerabilidad es la siguiente:

  • CVE-2019-17026

Esta vulnerabilidad consiste en una información de alias incorrecta en el compilador JIT de IonMonkey para configurar los elementos de la matriz, lo cual podría llevar a una confusión de tipos

IonMonkey es el compilador Just-in-Time (JIT) para el motor JavaScript SpiderMonkey de Firefox. Normalmente, se produce una vulnerabilidad de confusión de tipos cuando el código no verifica a qué objetos se pasa y lo usa a ciegas sin verificar su tipo, lo que facilita a un posible atacante bloquear la aplicación o logar la ejecución del código.

Al tratarse de un zero-day, la base de datos de la base de datos del NIST aún no ha registrado la vulnerabilidad identificada como CVE-2019-17026, por tanto no dispone de puntuación según la escala CVSS. No obstante, en el aviso publicado por Mozilla, éste la ha calificado como crítica y confirma que efectivamente se está explotando activamente en la red.

La corrección de este fallo de seguridad se realiza mediante la actualización a Firefox 72.0.1 o Firefox ESR 68.4.1, versiones ya lanzadas por la compañía y disponibles para los usuarios. 

Recursos afectados

  • Todas las versiones anteriores a Firefox 72.0.1 y Firefox ESR 68.4.1  (Windows, macOS y Linux) 

Medidas de mitigación

El CERT de Entelgy Innotec Security recomienda mantener siempre los sistemas actualizados con las últimas revisiones de seguridad, para así evitar la exposición a ataques. Si bien los usuarios de Firefox deberían recibir las actualizaciones automáticamente (si esta opción está activada) estas también se encuentran disponibles como descargas independientes desde el sitio web oficial de Mozilla:

Referencias

Mozilla Foundation Security Advisory 2020-03

S5 Box