Mozilla ha lanzado una nueva versión estable del navegador web Firefox de la organización el 3 de abril de 2020. Firefox 74.0.1 Estable es una actualización de seguridad que parchea dos vulnerabilidades críticas de seguridad en el navegador que son explotadas activamente en la naturaleza. Mozilla publicó una actualización para el Extended Support Release, Firefox ESR, también para abordar las vulnerabilidades en ese navegador. Firefox ESR se actualiza a la versión 68.6.1 y las actualizaciones ya están disponibles.
Los usuarios de Firefox que ejecutan la versión estable del navegador web deberían recibir notificaciones de actualización cuando inicien el navegador la próxima vez. El proceso puede acelerarse descargando manualmente la nueva versión estable desde el sitio oficial de descargas de Mozilla o seleccionando Menú > Ayuda > Acerca de Firefox para ejecutar una comprobación manual de actualizaciones.
Las notas de lanzamiento ya han sido publicadas; sólo incluyen correcciones de seguridad y ningún otro cambio. El sitio de Asesoría de Seguridad de Mozilla proporciona información adicional sobre las dos vulnerabilidades que la organización corrigió en la nueva versión de Firefox:
- CVE-2020-6819: Sin uso posterior mientras se ejecuta el destructor nsDocShell — Bajo ciertas condiciones, cuando se ejecuta el destructor nsDocShell, una condición de carrera puede causar un uso posterior libre. Somos conscientes de los ataques dirigidos en la naturaleza abusando de este defecto.
- CVE-2020-6820: Bajo ciertas condiciones, cuando se maneja un ReadableStream, una condición de carrera puede causar un uso-después-libre. Somos conscientes de los ataques dirigidos en la naturaleza abusando de este defecto.
No está claro cómo se pueden explotar estas vulnerabilidades, sólo que ahora mismo se producen ataques que las explotan. ReadableStream se utiliza para leer flujos de datos, el problema de nsDocShell parece haber sido causado por datos no liberados correctamente.
Se recomienda a los usuarios de Firefox que actualicen el navegador web lo antes posible para protegerlo de estos ataques.
Uno de los investigadores que informó de los problemas a Mozilla revelado en Twitter que los problemas descubiertos podrían afectar a otros navegadores también. Elogió a Mozilla por parchear la vulnerabilidad rápidamente. Se desconoce si otros navegadores significan otros navegadores basados en Firefox o no.
Ahora tú…: ¿Ya has actualizado tu navegador?