Actualización urgente de Firefox 58 elimina vulnerabilidades
Tras la actualización a la versión 58, Mozilla tuvo que sacar un parche para eliminar la insuficiencia de fragmentos HTML.
Mozilla corrigió un error crítico en Firefox, el cual podría permitir que un atacante remoto ejecutara un código arbitrario en un dispositivo específico.
Un atacante podría aprovechar la vulnerabilidad persuadiendo a un usuario para que acceda a un enlace o archivo, y luego enviar entradas maliciosas al software afectado, según un aviso de seguridad de Cisco.
Un exploit exitoso podría permitir al atacante ejecutar un código arbitrario con los privilegios del usuario. Si el usuario tiene privilegios elevados, el atacante podría poner en peligro el sistema por completo.
Según Cisco, la vulnerabilidad se produce debido a la "falta de higiene" de los fragmentos HTML en documentos con privilegios de Chrome, por parte del software afectado.
Mozilla describe a Chrome, que en este caso no significa Google Chrome, como cualquier aspecto visible de un navegador aparte de las páginas web.
Para explotar la falla, los hackers pueden usar un lenguaje engañoso o instrucciones para persuadir a un usuario específico, con el objetivo de que abra un archivo especialmente diseñado.
Por ello Mozilla lanzó la actualización, Firefox 58.0.1, que corrige el error en la versión de escritorio. Firefox para Android y Firefox 52 ESR no se ven afectados por la vulnerabilidad.
Cisco dijo que los administradores deberían aplicar las actualizaciones de software apropiadas, y los usuarios no deberían abrir mensajes de correo electrónico de fuentes sospechosas o no reconocidas.
Y los usuarios con derechos de administrador deberían usar una cuenta sin esos privilegios cuando navegan por Internet. "Si los usuarios no pueden verificar que los enlaces o archivos adjuntos incluidos en los mensajes de correo electrónico son seguros, se les aconseja no abrirlos", dice un aviso de Mozilla.
Afortunadamente no hay evidencia de que los datos de alguien hayan sufrido debido a la vulnerabilidad. "No tenemos ninguna evidencia de que haya sucedido algo inesperado en nuestros usuarios", dijo un portavoz de Mozilla.