Vulnerabilidad día cero: ¡Actualiza Firefox ya!

Solo dos días después de lanzar Firefox 72, Mozilla ha publicado una actualización para corregir una vulnerabilidad crítica día cero.

Según un aviso en la web de Mozilla, el problema identificado como CVE-2019-17026 es un error de tipo confusión que afecta al compilador IonMonkey JavaScript Just-in-Time (JIT) de Firefox.

En pocas palabras, un compilador JIT toma el código fuente de JavaScript, como aparece en la mayoría de las páginas web actualmente, y lo convierte en código ejecutable, para que el JavaScript se ejecute directamente dentro de Firefox como si fuera una parte integrada de la aplicación

Esto generalmente mejora el rendimiento, a menudo de una manera considerable.

Irónicamente, la mayoría de las aplicaciones modernas implementan lo que se llama DEP, abreviatura de Prevención de Ejecución de Datos, una mitigación de amenazas que ayuda a evitar que los delincuentes envíen datos que parecen inocentes, pero luego engañan a la aplicación para que ejecute esos datos como si fuera un programa confiable.

(El código disfrazado como datos se conoce en la jerga como shellcode).

DEP significa que una vez que un programa se está ejecutando, los datos que consume, especialmente si se originan en una fuente no confiable, no se pueden convertir en código de ejecución, ya sea accidentalmente o de cualquier otra manera.

Pero los compiladores JIT tienen que eximirse de los controles DEP, porque convertir datos en código y ejecutarlos es precisamente lo que hacen, y es por eso por lo que a los delincuentes les encanta buscar vulnerabilidades en los sistemas JIT.

Este error fue reportado a Mozilla por la empresa de seguridad china Qihoo 360, pero la mala noticia es que los atacantes estaban un paso por delante de Mozilla, que dijo:

Somos conscientes de la existencia de ataques que se benefician de esta vulnerabilidad.

Todavía no se ha revelado nada sobre la naturaleza de los ataques más allá de ese comentario.

La palabra objetivo a menudo se usa para implicar una campaña dirigida por los llamados actores patrocinados por estados, pero es más seguro asumir que cualquiera puede estar en peligro: lo que comienza como una campaña limitada contra objetivos específicos puede ser rápidamente captada por otros atacantes convencionales.

La última vez que Mozilla tuvo que parchear un día cero fue en junio pasado cuando arregló dos en una sola semana que se usaban para atacar a mercados de criptomonedas.

¿Qué hacer?

Si utilizas la versión normal de Firefox, asegúrate tener la versión 72.0.1.

Es posible que Firefox se haya actualizado automáticamente, pero vale la pena verificarlo.

Ve a Ayuda → Acerca de Firefox (o Firefox → Acerca de Firefox en un Mac), donde verás el número de versión actual y desde ahí podrás actualizarlo si todavía no lo está.

Algunas distribuciones de Linux y muchas empresas se adhieren a la versión de soporte extendido (ESR) de Firefox porque obtiene soluciones de seguridad al mismo ritmo que la versión normal, pero no te obliga a adoptar nuevas funciones en cada actualización.

Por lo tanto, si eres un usuario ESR, debes actualizar a 68.4.1esr para obtener este parche. (Ten en cuenta que 68 + 4 = 72, que es una forma general de saber qué versión de ESR corresponde a las actualizaciones de seguridad de la versión actual).

Nota para los usuarios de Tor

Es importante destacar que el navegador que viene con Tor, el paquete de software que mejora la privacidad que permite a navegar sin ser rastreado, es una compilación especial de Firefox ESR.

Afortunadamente, Tor acaba de lanzar la versión 9.04 por lo que recomendamos verificar que se está utilizando esa versión y si no actualizarlo antes posible.