![](\"https:\/\/sophos.files.wordpress.com\/2020\/01\/firefox.png\"\/)
<\/p>\nSolo dos d\u00edas despu\u00e9s de lanzar Firefox 72, Mozilla ha publicado una actualizaci\u00f3n para corregir una vulnerabilidad cr\u00edtica d\u00eda cero.<\/p>\n
Seg\u00fan un aviso en la web de Mozilla, el problema identificado como CVE-2019-17026 es un error de tipo confusi\u00f3n que afecta al compilador IonMonkey JavaScript Just-in-Time (JIT) de Firefox.<\/p>\n
En pocas palabras, un compilador JIT toma el c\u00f3digo fuente de JavaScript, como aparece en la mayor\u00eda de las p\u00e1ginas web actualmente, y lo convierte en c\u00f3digo ejecutable, para que el JavaScript se ejecute directamente dentro de Firefox como si fuera una parte integrada de la aplicaci\u00f3n<\/p>\n
Esto generalmente mejora el rendimiento, a menudo de una manera considerable.<\/p>\n
Ir\u00f3nicamente, la mayor\u00eda de las aplicaciones modernas implementan lo que se llama DEP, abreviatura de Prevenci\u00f3n de Ejecuci\u00f3n de Datos, una mitigaci\u00f3n de amenazas que ayuda a evitar que los delincuentes env\u00eden datos que parecen inocentes, pero luego enga\u00f1an a la aplicaci\u00f3n para que ejecute esos datos como si fuera un programa confiable.<\/p>\n
(El c\u00f3digo disfrazado como datos se conoce en la jerga como shellcode).<\/p>\n
DEP significa que una vez que un programa se est\u00e1 ejecutando, los datos que consume, especialmente si se originan en una fuente no confiable, no se pueden convertir en c\u00f3digo de ejecuci\u00f3n, ya sea accidentalmente o de cualquier otra manera.<\/p>\n
Pero los compiladores JIT tienen que eximirse de los controles DEP, porque convertir datos en c\u00f3digo y ejecutarlos es precisamente lo que hacen, y es por eso por lo que a los delincuentes les encanta buscar vulnerabilidades en los sistemas JIT.<\/p>\n
Este error fue reportado a Mozilla por la empresa de seguridad china Qihoo 360, pero la mala noticia es que los atacantes estaban un paso por delante de Mozilla, que dijo:<\/p>\n
Somos conscientes de la existencia de ataques que se benefician de esta vulnerabilidad.<\/em><\/p>\n Todav\u00eda no se ha revelado nada sobre la naturaleza de los ataques m\u00e1s all\u00e1 de ese comentario.<\/p>\n La palabra objetivo a menudo se usa para implicar una campa\u00f1a dirigida por los llamados actores patrocinados por estados, pero es m\u00e1s seguro asumir que cualquiera puede estar en peligro: lo que comienza como una campa\u00f1a limitada contra objetivos espec\u00edficos puede ser r\u00e1pidamente captada por otros atacantes convencionales.<\/p>\n La \u00faltima vez que Mozilla tuvo que parchear un d\u00eda cero fue en junio pasado cuando arregl\u00f3 dos en una sola semana que se usaban para atacar a mercados de criptomonedas<\/a>.<\/p>\n Si utilizas la versi\u00f3n normal de Firefox, aseg\u00farate tener la versi\u00f3n 72.0.1<\/a>.<\/p>\n Es posible que Firefox se haya actualizado autom\u00e1ticamente, pero vale la pena verificarlo.<\/p>\n Ve a Ayuda \u2192 Acerca de Firefox<\/strong> (o Firefox \u2192 Acerca de Firefox<\/strong> en un Mac), donde ver\u00e1s el n\u00famero de versi\u00f3n actual y desde ah\u00ed podr\u00e1s actualizarlo si todav\u00eda no lo est\u00e1.<\/p>\n Algunas distribuciones de Linux y muchas empresas se adhieren a la versi\u00f3n de soporte extendido (ESR) de Firefox porque obtiene soluciones de seguridad al mismo ritmo que la versi\u00f3n normal, pero no te obliga a adoptar nuevas funciones en cada actualizaci\u00f3n.<\/p>\n Por lo tanto, si eres un usuario ESR, debes actualizar a 68.4.1esr para obtener este parche. (Ten en cuenta que 68 + 4 = 72, que es una forma general de saber qu\u00e9 versi\u00f3n de ESR corresponde a las actualizaciones de seguridad de la versi\u00f3n actual).<\/p>\n Es importante destacar que el navegador que viene con Tor, el paquete de software que mejora la privacidad que permite a navegar sin ser rastreado<\/a>, es una compilaci\u00f3n especial de Firefox ESR.<\/p>\n Afortunadamente, Tor acaba de lanzar la versi\u00f3n 9.04<\/a> por lo que recomendamos verificar que se est\u00e1 utilizando esa versi\u00f3n y si no actualizarlo antes posible.<\/p>\n<\/p><\/div>\n\u00bfQu\u00e9 hacer?<\/h2>\n
Nota para los usuarios de Tor<\/h2>\n