Nueva vulnerabilidad de Zero-day en Firefox

25/06/2019
Mozilla hace pública otra vulnerabilidad considerada de peligrosidad “alta” y que está siendo explotada activamente en internet. Esta explotación consiste en eludir el mecanismo de aislamiento de la sandbox en el navegador afectado, y si es encadenada con la vulnerabilidad de la semana pasada “CVE-2019-11707” sobre confusión de tipos, podría permitir a un atacante ejecutar código malicioso en el equipo cuando la victima visite una web maliciosa.

Riesgo: Alto Alto
Sistemas afectados:
  • Versiones de Firefox inferiores a 67.0.4 y Firefox ESR 60.7.2.
Descripción:

Este nuevo fallo de seguridad ha sido detectado también por el departamento de seguridad de Coinbase y estaba enfocado principalmente a atacar a los usuarios que utilizaran plataformas de compra o trading de criptomonedas, como Coinbase.

El problema de esta vulnerabilidad es que permite la manipulación de llamadas IPC para abrir contenido web en un proceso secundario que no usa un sandbox. Si esto se combina con otra vulnerabilidad, este problema permite omitir todos los niveles de protección y organizar la ejecución del código en el sistema.

Referencias (CVE):
Solución:
  • Actualizar a las versiones Firefox 67.0.4 y Firefox ESR 60.7.2.
Notas:

Más información de la noticia aquí.