Mozilla, la compañía detrás del navegador Firefox, publicó una solución el miércoles para una vulnerabilidad de día cero que, según afirman, ha sido explotada. NIST enumera la vulnerabilidad como CVE-2024-9680 y su estado como «en espera de análisis». Los usuarios de Firefox deben actualizar a la última versión del navegador y a las versiones de soporte extendido para proteger sus sistemas de posibles ataques. Debido al uso generalizado de Firefox, este problema plantea un riesgo importante, especialmente para los sistemas que no se han actualizado. No se han publicado detalles específicos sobre los atacantes o los métodos de explotación, pero los posibles vectores de ataque incluyen descargas no autorizadas o sitios web maliciosos. La falla de uso después de la liberación resalta grietas en lenguajes de programación que no son seguros para la memoria El atacante encontró la falla de uso después de la liberación en las líneas de tiempo de animación, parte de una API que muestra animaciones en páginas web. Se produce un error de uso después de la liberación cuando una conexión en la memoria dinámica se deja abierta después de haber sido utilizada. Puede surgir de un código escrito en un lenguaje de programación que no utiliza gestión automática de memoria, como C o C++. La recomendación del gobierno de EE. UU. de alejarse de los lenguajes que no son seguros para la memoria es un intento de prevenir este tipo de falla. VER: Tanto Microsoft como Apple lanzaron correcciones importantes el martes de parches de este mes. «Hemos recibido informes de que esta vulnerabilidad ha sido explotada en estado salvaje», escribió Mozilla. «Una hora después de recibir la muestra, habíamos convocado a un equipo de ingenieros de seguridad, navegadores, compiladores y plataformas para aplicar ingeniería inversa al exploit, forzarlo a activar su carga útil y comprender cómo funcionaba», escribió Tom Ritter, ingeniero de seguridad. en Mozilla, en una publicación de blog del 11 de octubre. Mozilla implementó la solución en sólo 25 horas, señaló Ritter. «Nuestro equipo continuará analizando el exploit para encontrar medidas de refuerzo adicionales que hagan que la implementación de exploits para Firefox sea más difícil y menos común», escribió. Esta no es la primera vez que Mozilla sufre un incidente cibernético. En 2015, una falla crítica permitió a los atacantes eludir la política del mismo origen del navegador y acceder a archivos locales. En 2019, la compañía corrigió una falla de día cero que los atacantes estaban explotando activamente para apoderarse de los sistemas engañando a los usuarios para que visitaran sitios maliciosos, lo que subraya la importancia de mantenerse actualizado con las últimas versiones del navegador. Sin embargo, Mozilla emitió un aviso para otra vulnerabilidad crítica en el último año, una vulnerabilidad de lectura o escritura fuera de límites que Trend Micro descubrió en marzo. Cobertura de seguridad de lectura obligada Otros navegadores web han sido atacados en los últimos años Varios otros navegadores web han sido explotados por ciberatacantes en los últimos años: Google Chrome: debido a su uso generalizado, Chrome ha sido un objetivo común. Por ejemplo, en 2022, Google parchó una grave vulnerabilidad de día cero relacionada con un error de confusión de tipos en el motor JavaScript V8, que permitía la ejecución de código arbitrario. Microsoft Edge: en 2021, una serie de vulnerabilidades permitieron a los atacantes realizar la ejecución remota de código, incluido un problema encontrado en el componente WebRTC. Apple Safari: desde 2021, Apple ha solucionado una serie de vulnerabilidades de día cero, incluidas las que se utilizan para atacar a usuarios de iPhone y Mac a través de WebKit, el motor que ejecuta Safari. Cómo aplicar el parche de Mozilla Las siguientes versiones incluyen el parche: Firefox 131.0.2. FirefoxESR 115.16.1. Firefox ESR 128.3.1. Para actualizar su navegador, vaya a Configuración -> Ayuda -> Acerca de Firefox. Vuelva a abrir el navegador después de aplicar la actualización. Cuando contactamos para hacer comentarios, Mozilla nos remitió a su blog de seguridad.
