Mozilla ha lanzado actualizaciones de seguridad críticas para Firefox y Firefox ESR

06 Abril 2020
Alto

Mozilla lanzó una actualización de seguridad para Firefox y Firefox ESR (Extended Support Release) y corrigió 2 vulnerabilidades críticas de día cero bajo explotación activa. Ambas Vulnerabilidades son reportadas por Francisco Alonso y Javier Marcos, investigadores de seguridad. 

El primero de estos (CVE-2020-6819) existiría al ejecutar el destructor nsDocShell, que permite al atacante ejecutar un núcleo arbitrario de forma remota y bloquear el sistema de destino.

La Segunda Vulnerabilidad ( CVE-2020-6820 ) puede explotarse cuando Use-after-free maneja un ReadableStream, y se explota ampliamente como un ataque dirigido.

Los detalles de las vulnerabilidades en la base de datos de errores de Mozilla aún no están abiertos al público, presumiblemente porque los codificadores de Mozilla que solucionaron el error, quieren evitar la creación de exploits adicionales. 

Se recomienda lo siguiente:

  • Actualizar lo antes posible.
    • La mayoría de los usuarios de Firefox deberían recibir la actualización automáticamente, pero también puede verificar para asegurarse de que esté allí, porque el acto de verificación desencadenará una actualización si aún no la ha recibido.
    • Haga clic en el ícono de tres barras (menú de hamburguesas) en la esquina superior derecha, luego elija Ayuda > Acerca de Firefox .

El listado de las CVE se adjunta a continuación:


Tags: #firefox #parche #vulnerabilidad #mozilla
  • Productos Afectados
  • Producto Versión
    Firefox anterior a 74.0.1 (Windows
    MacOS
    Linux)
    Firefox ESR anterior a 68.6.1.


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.