Alertas de seguridad

Vulnerabilidad zero‑day en Firefox

El 8 de enero, la Fundación Mozilla lanzó un aviso de seguridad para abordar una falla crítica de día cero en Mozilla Firefox, que ha sido explotada en ataques dirigidos.

vulnerabilidad windows-1

La vulnerabilidad reportada por los investigadores de Qihoo 360 ATA, catalogada como CVE-2019-17026, se trata de un fallo del tipo Type Confusion que radica en el compilador Just-in-time (JIT) IonMonkey del motor de JavaScript SpiderMonkey.

Según el aviso de Mozilla, la falla existe en el compilador JIT debido a "información de alias incorrecta para configurar elementos de matriz", específicamente en StoreElementHole y FallibleStoreElement.

Esta falla podría permitir a un atacante tomar control de un sistema comprometido, si por ejemplo logra engañar a una víctima para que ingrese a un sitio web que corra un código JavaScript malicioso.

Productos afectados

Firefox, Firefox ESR.

Soluciones alternativas

Mozilla liberó las versiones Firefox 72.0.1 y Firefox ESR 68.4.1 para que las personas actualicen su versión de Firefox, que si bien Firefox instala las actualizaciones de manera automática, se recomienda realizar la actualización de manera manual, a través del menú del navegador, seleccionando la opción Help/About Firefox.