• +54 (011) 4323-9362
  • |
  • de Lun a Vie de 9 a 17 hs
  • |
  • ciberseguridad@ba-csirt.gob.ar

############################
|A|L|E|R|T|A|S| |B|A|-|C|S|I|R|T|
############################

Firefox: actualización crítica para mitigar su último 0-day

19/06/2019

=============================================
CVE-2019-11707
Fecha de lanzamiento: 18/06/2019
Gravedad: Alta
=============================================

VULNERABILIDAD

Firefox ha liberado hoy las versiones 67.0.3 y ESR 60.7.1 para mitigar la explotación de su último zero-day

INFORMACIÓN

Mozilla Firefox (llamado simplemente Firefox) es un navegador web libre y de código abierto8​ desarrollado para Linux, Android, IOS, OS X y Microsoft Windows coordinado por la Corporación Mozilla y la Fundación Mozilla. Usa el motor Gecko para renderizar páginas web, el cual implementa actuales y futuros estándares web.

DESCRIPCIÓN

Los usuarios del navegador ya pueden actualizar su versión para parchear la última vulnerabilidad descubierta, clasificada bajo el código CVE-2019-11707. La vulnerabilidad permitía ejecución remota de código arbitrario en las máquinas afectadas por el fallo, lo que a su vez llevaba a la toma de control de la máquina por parte del atacante.

El investigador de ciberseguridad Samuel Groß, de ‘Project Zero’, el equipo de analistas de seguridad informática de Google, reportó esta vulnerabilidad que afecta a cualquiera que utilice la versión de escritorio de Firefox, ya sea en Windows, macOS o Linux. Sin embargo, los clientes de Firefox para Android, iOS y Amazon Fire TV, no se ven afectados por el fallo.

Según el anuncio del fabricante, el fallo de seguridad ha sido clasificado como una vulnerabilidad asociada a un error de confusión de tipos, que podía llevar a la caída del sistema debido al comportamiento de la instrucción Array.pop, que tiene lugar durante el manejo de objetos JavaScript. De este modo, un atacante podría crear una página web a la que dirigir a la víctima y ejecutar código arbitrario cuando se consiga disparar el error de confusión de tipos.

SISTEMAS AFECTADOS

- Firefox 67.0.3
- Firefox ESR 60.7.1

SOLUCIÓN

A pesar de que Firefox instala automáticamente las actualizaciones pertinentes, se recomienda igualmente a los usuarios que actualicen manualmente de inmediato sus clientes.

FUENTE

https://hispasec.com/es/