La última versión del navegador de Mozilla, Firefox 58, se ha actualizado una semana después de su lanzamiento a la versión 58.0.1 para solucionar una vulnerabilidad crítica que permitía la ejecucción de código arbitrario capaz de tomar el control de los sistemas por parte de un atacante remoto no identificado.
La vulnerabilidad, según Cisco, se debía a la desinfección insuficiente de fragmentos HTML en determinados documentos. El ataque se llevaría a cabo, en primer término, persuadiendo a un usuario para que accediese a un enlace o un archivo que enviase información maliciosa al navegador afectado.
Un exploit exitoso podría permitir al atacante ejecutar código arbitrario con los privilegios del usuario. Si el usuario tiene privilegios elevados, el atacante podría comprometer el sistema por completo.
La versión 58.0.1 soluciona el fallo crítico
En las notas de lanzamiento de Firefox 58.0.1 Mozilla confirma la vulnerabilidad dándola por solucionada. En el detalle del problema de seguridad, se explica que fue conocido el pasado lunes, que fue notificado por un desarrollador de Mozilla, Johann Hofmann, y que su impacto se califica como "crítico". El problema, especifican, no afectó a Firefox para Android ni Firefox 52 ESR.
El aprovechamiento de esta vulnerabilidad, CVE-2018-5124, todavía no descrita en su ficha de la lista de Common Vulnerabilities and Exposures, implicaría que con abrir un enlace malintencionado de un correo, una conversación de chat, una web o un mensaje en una red social, un usaurio logueado en su sistema con una cuenta de administrador podría ver cómo un atacante remoto crea nuevas cuentas, instala otros programas o cambia datos a placer.
Dada la peligrosidad del problema, es importante revisar que nuestro navegador se ha actualizado a la versión 58.0.1 tanto si permitimos que se actualice automáticamente como si no. De igual modo, como recomiendan numerosos expertos en seguridad informática, no está de más valorar la posibilidad de tomar precauciones de forma general utilizando nuestros equipos —siempre que sea posible— con cuentas de usuario con privilegios limitados.
En Genbeta | Meltdown y Spectre: Mozilla confirma que es posible un ataque basado en JavaScript
Ver todos los comentarios en https://www.genbeta.com
VER 8 Comentarios