Mozilla parcha vulnerabilidad que permitía el robo de contraseñas

19 Agosto 2019
Medio

Mozilla lanza parche para vulnerabilidad detectada en su navegador web Firefox, la cual permite a usuarios no autorizados copiar contraseñas de la base de datos Save Logins incluida en el navegador incluso cuando esté protegido con una contraseña maestra. 

El fallo permite a cualquier persona con acceso local a una computadora que ejecute una versión sin parches de Firefox ir al cuadro de diálogo “Guardar”- “Inicios de sesión” disponible en el menú de preferencias “Opciones de Firefox Privacidad y Seguridad” y copiar la contraseña almacenada para cualquiera de los inicios de sesión guardados haciendo clic derecho y eligiendo la opción “Copiar contraseña”.

Mozilla lanzó la versión 68.0.2 del navegador Firefox, con la cual viene incluido el parche a la vulnerabilidad detallada. Con esta actualización, cualquier persona con acceso local al navegador ya no puede ver ni copiar las contraseñas guardadas sin ingresar la contraseña maestra. Los usuarios que aún no han habilitado la contraseña maestra y guardan los inicios de sesión en el navegador siguen siendo vulnerables, debido a que la función “Guardar contraseñas” de Firefox viene activa por defecto. 

Se recomienda lo siguiente: 

  • Actualizar el navegador Firefox a la última versión disponible 68.0.2 y crear una contraseña maestra en éste, a fin de proteger sus contraseñas.
  • Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.11.2.9 “Política de puesto de trabajo despejado y bloqueo de pantalla” o NIST PR.AC-2, enfocada en la “Gestión y protección del acceso físico a los activos”.

El listado de las CVE se adjunta a continuación:


Tags: #mozilla #firefox #contraseñas #navegador #web #maestra
  • Productos Afectados
  • Producto Versión
    Mozilla FIrefox versiones anteriores a 68.0.2


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.