Viernes, 10 January 2020 12:28

Mozilla Firefox publica una vulnerabilidad zero-day en su navegador

Entelgy Innotec CERT avisa de la publicación de una vulnerabilidad zero-day en el navegador Firefox.

Nivel de Criticidad: CRÍTICO

Mozilla ha lanzado una actualización de su navegador Firefox para corregir una nueva vulnerabilidad zero-day. La vulnerabilidad la ha notificado la firma china Quihoo 360, que notificó que el fallo se estaba explotando junto a otro zero-day del navegador de Microsoft, Internet Explorer.

La vulnerabilidad es la siguiente:

  • CVE-2019-17026

Esta vulnerabilidad consiste en una información de alias incorrecta en el compilador JIT de IonMonkey para configurar los elementos de la matriz, lo cual podría llevar a una confusión de tipos

IonMonkey es el compilador Just-in-Time (JIT) para el motor JavaScript SpiderMonkey de Firefox. Normalmente, se produce una vulnerabilidad de confusión de tipos cuando el código no verifica a qué objetos se pasa y lo usa a ciegas sin verificar su tipo, lo que facilita a un posible atacante bloquear la aplicación o logar la ejecución del código.

Al tratarse de un zero-day, la base de datos de la base de datos del NIST aún no ha registrado la vulnerabilidad identificada como CVE-2019-17026, por tanto no dispone de puntuación según la escala CVSS. No obstante, en el aviso publicado por Mozilla, éste la ha calificado como crítica y confirma que efectivamente se está explotando activamente en la red.

La corrección de este fallo de seguridad se realiza mediante la actualización a Firefox 72.0.1 o Firefox ESR 68.4.1, versiones ya lanzadas por la compañía y disponibles para los usuarios. 

Recursos afectados

  • Todas las versiones anteriores a Firefox 72.0.1 y Firefox ESR 68.4.1  (Windows, macOS y Linux) 

Medidas de mitigación

El CERT de Entelgy Innotec Security recomienda mantener siempre los sistemas actualizados con las últimas revisiones de seguridad, para así evitar la exposición a ataques. Si bien los usuarios de Firefox deberían recibir las actualizaciones automáticamente (si esta opción está activada) estas también se encuentran disponibles como descargas independientes desde el sitio web oficial de Mozilla:

Referencias

Mozilla Foundation Security Advisory 2020-03

Visto 28 veces

Avda. Llano Castellano, 43
28034 Madrid
+34 917 281 504
innotec.security


InnoTec

Sobre nosotros

InnoTec nace en 2002 como empresa especializada en ciberseguridad, inteligencia, prevención y gestión de riesgos. Actualmente contamos con una plantilla de más de 350 profesionales altamente cualificados en España, y estamos presentes en los principales mercados de Latinoamérica y Estados Unidos.

Ampliar información
Presentación corporativa

Este sitio web utiliza cookies propias y de terceros para el correcto funcionamiento y visualización del sitio web por parte del usuario, así como la recogida de estadísticas. Si continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información consultando nuestra Política de Cookies.