Mozilla ha lanzado una nueva versión de Firefox que corrige un día cero explotado activamente que podría permitir a los atacantes tomar el control de las computadoras de los usuarios.
En un aviso, Mozilla calificó la vulnerabilidad como crítica y dijo que estaba «al tanto de los ataques dirigidos en la naturaleza que abusan de esta falla». La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. dijo que uno o más exploits fueron «detectados en la naturaleza» y advirtió que los ataques podrían explotarse para «tomar el control de un sistema afectado». El aviso de Mozilla acreditó a los investigadores de Qihoo 360, con sede en China, por informar sobre la falla.
No hubo otros detalles sobre los ataques disponibles de inmediato. Ni Mozilla ni Qihoo 360 respondieron a los correos electrónicos que solicitaban más información.
CVE-2023-17026, ya que la vulnerabilidad está indexada, es una confusión de tipo, un error potencialmente crítico que puede resultar en que los datos se escriban o lean en ubicaciones de memoria que normalmente están fuera de los límites. Estas lecturas fuera de los límites pueden permitir a los atacantes descubrir ubicaciones de memoria donde se almacena el código malicioso para que se puedan eludir protecciones como la aleatorización del diseño del espacio de direcciones. Las lecturas fuera de los límites también pueden provocar bloqueos.
La falla se solucionó en el lanzamiento del martes de Firefox 72.0.1. El parche llegó un día después de que la versión 72 corrigiera otras 11 vulnerabilidades, seis de las cuales fueron calificadas como altas. Tres de esos seis errores podrían hacer posible que los atacantes ejecuten código malicioso en las computadoras afectadas.
El parche de CVE-2023-17026 se produce siete meses después de que Mozilla parchó un par de potentes días cero que los atacantes explotaron en un intento de instalar una puerta trasera no detectada en las Mac utilizadas por el intercambio de criptomonedas Coinbase.
Si bien los detalles de las nuevas vulnerabilidades no están disponibles, los usuarios de Firefox deben instalar el parche tan pronto como sea posible. La forma más fácil de hacerlo es usar la función de actualización en el navegador, que está disponible al hacer clic en «Acerca de Firefox». En Windows, está disponible en la sección Ayuda del menú. En Mac, está en la sección Firefox del menú.
Imagen del listado por Small Curio / Flickr
