Segundo 0-day en dos días: Mozilla lanza Firefox 67.0.4 para corregir un grave fallo que estaba siendo explotado

Escrito por Rubén Velasco

Esta misma semana Mozilla lanzaba Firefox 67.0.3, una actualización de emergencia del navegador para corregir una vulnerabilidad 0-day recién descubierta que estaba siendo utilizada activamente a través de Internet para controlar cualquier ordenador de forma remota. Por desgracia, esta no era la única vulnerabilidad que estaba poniendo en peligro la seguridad de los usuarios, y es que hace algunas horas Mozilla sorprendía lanzando una nueva actualización para su navegador con la que corregir un segundo fallo 0-day también explotado activamente en Internet.

Este nuevo fallo de seguridad ha sido detectado también por el departamento de seguridad de Coinbase, igual que el anterior, y estaba enfocado principalmente a atacar a los usuarios que utilizaran plataformas de compra o trading de criptomonedas, como Coinbase.

Este fallo de seguridad en concreto, registrado como CVE-2019-11708, permite a un atacante abandonar el espacio seguro del sandbox en el que se ejecuta el navegador. La vulnerabilidad ha sido considerada como de peligrosidad alta y, aunque por sí sola no sirve de mucho, en combinación de otras vulnerabilidades sí puede causar más de un dolor de cabeza a los usuarios. Este fallo, junto al solucionado con Firefox 67.0.3, eran los que permitían lograr ejecutar código sin permiso ni interacción del usuario en el navegador.

Tal como advierte Mozilla, esta vulnerabilidad está siendo explotada de forma activa a través de Internet para ejecutar código remoto en máquinas e instalar malware, así como para robar información sobre monederos de criptomonedas online en Coinbase y otras plataformas similares, por lo que se recomienda a todos los usuarios actualizar Firefox cuanto antes para no seguir estando en peligro.

Cómo actualizar Firefox a la nueva versión 67.0.4

El nuevo Firefox 67.0.4 ya se encuentra disponible para todos los usuarios como una actualización totalmente gratuita y automática. Los usuarios que ya tengan instalado el navegador en su ordenador recibirán esta nueva versión de forma automática, sin hacer nada, y se instalará ella sola la próxima vez que reiniciemos el ordenador.

También podemos forzar una actualización manual del navegador simplemente abriendo el menú «Opciones > Ayuda > Acerca de Firefox» para ver la versión que tenemos instalada de manera que, si no es la última, esta se descargue e instale automáticamente.

Firefox 67.0.4

Por último, también podemos descargar Firefox de forma totalmente gratuita desde su página web. La versión que descargaremos desde la web siempre será la última, por lo que no tendremos que preocuparnos por tener el navegador actualizado. Si tenemos instaladas las versiones Beta o Nightly del navegador, también debemos instalar las nuevas versiones de las mismas ya que, aunque Mozilla no ha confirmado si son o no vulnerables, seguramente también lo sean, por lo que, para no tener problemas, debemos actualizarlas cuanto antes igual.

La versión ESR del navegador también ha recibido su correspondiente actualización de seguridad a la versión 60.7.2 ya que, tal como advierte Mozilla, también está afectada por este fallo 0-day. Los demás navegadores basados en Firefox, como, por ejemplo, Tor Browser, también deben actualizarse tan pronto como sea posible para corregir estas vulnerabilidades y poder navegar seguros por Internet sin que estas vulnerabilidades puedan poner en jaque toda la seguridad de nuestro ordenador.

Fuente > Mozilla