El equipo corrigió un error en la versión previa del buscador que posiblemente se estaba utilizando para ataques dirigidos a usuarios criptográficos.

***

El equipo de Mozilla publicó ayer una nueva versión del navegador Firefox -versión 67.0.3-  para hacer frente a una vulnerabilidad crítica que se utilizó para perpetuar ataques. En un aviso de seguridad por parte del equipo de Mozilla, los desarrolladores escribieron:

Una vulnerabilidad de confusión de escritura puede ocurrir cuando se manipulan objetos JavaScript debido a problemas en Array.pop.

“Esto puede permitir una falla susceptible de ser aprovechada“, agregaron. “Estamos al tanto de ataques selectivos en el medio criminal que abusan de este defecto“.

El equipo de seguridad de Coinbase y Samuel Groß, un investigador de seguridad del equipo de seguridad del Proyecto Cero de Google fueron los encargados de descubrir el error de Firefox, cuyo nombre es CVE-2019-11707.

Aparte de la breve descripción publicada en el sitio de Mozilla, la compañía no proporcionó otros detalles sobre este fallo de seguridad o los ataques en curso.

Sin embargo, Groß explicó al medio ZDNet que “el fallo puede ser explotado para RCE[ejecución remota de código], pero que entonces necesitaría una salida separada del esoacio” para ejecutar código en un sistema operativo subyacente. Y añadió:

Sin embargo, lo más probable es que también se pueda aprovechar para UXSS[universal cross-site scripting], lo que podría ser suficiente dependiendo de los objetivos del atacante.

Vulnerabilidad a usuarios criptográficos

Basándonos en los analistas que reportaron la falla de seguridad, cabe suponer que que la vulnerabilidad estaba siendo utilizada en ataques dirigidos a los propietarios de criptomonedas. Groß también explicó que no tenía detalles sobre cómo se usaba la falla, e indicó que Coinbase Security podría saber más sobre los ataques en la naturaleza.

No tengo ninguna idea de la parte del uso activo de la falla. La encontré y luego reporté el error el 15 de abril“, explicó el investigador de seguridad de Google.

Este tipo de fallas de Firefox, conocidas como «días cero», o zero-day, son muy poco frecuentes. La última vez que el equipo de Mozilla reparó una versión Firefox con una falla de día cero fue en diciembre de 2016. En aquel entonces, el fallo de seguridad se utilizó en ataques dirigidos para exponer y desanimar a los usuarios del primer Tor Browser.

En marzo de este año, otro fabricante de navegadores, Google, reparó un día cero en su navegador. El zero-day se estaba utilizando junto con un Windows 7 como parte de una compleja cadena de vulnerabilidades.

Mientras tanto, los usuarios del navegador deben asegurarse de actualizar a la última versión de Mozilla Firefox, en caso de que su navegador no esté programado para la actualización automática.

Fuente: ZDNet

Traducción de Hannah Estefanía Pérez / DiarioBitcoin

Imagen de Pixabay

ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.

Suscríbete a nuestro boletín