Han salido a la luz dos vulnerabilidades graves en los productos de Mozilla que pueden otorgar a los hackers acceso a la cámara y el micrófono de su dispositivo si se explotan con éxito. Ambas vulnerabilidades han sido reconocidas oficialmente por Mozilla, así como por el Equipo Indio de Respuesta a Emergencias Informáticas (CERT-In), la principal agencia de seguridad cibernética del país.
CERT-In emitió una advertencia sobre siete vulnerabilidades, incluidas estas dos, que existen en varios Mozilla FireFox, Mozilla ESR y Mozilla Thunderbird. Si bien Firefox es un navegador normal, Firefox Extended Support Release (ESR) está desarrollado para grandes organizaciones como universidades y empresas, y Thunderbird es una aplicación que ayuda a las personas y organizaciones a administrar su correo electrónico.
“Se han informado múltiples vulnerabilidades en los productos de Mozilla que podrían permitir que un atacante remoto eluda las restricciones de seguridad, ejecute código arbitrario y provoque un ataque de denegación de servicio en el sistema objetivo”.
La ejecución de código arbitrario significa que un atacante, una vez dentro del sistema, puede ejecutar cualquier comando que desee, otorgándole efectivamente el control sobre todo el sistema. La denegación de servicio es una forma común de ataque cibernético donde los atacantes causan pérdidas a las organizaciones al interrumpir el servicio que se brinda a los consumidores.
El más serio existe en Mozilla ESR y puede otorgar acceso a todos los permisos que se han otorgado al navegador, incluida la cámara y el micrófono. El segundo afecta a la versión Android de Firefox y puede habilitar la grabación de audio en la computadora de destino sin que el usuario reciba una notificación al respecto.
Las siete vulnerabilidades han sido reconocidas oficialmente por Mozilla en una actualización de su sitio web. Mozilla también los ha calificado como ‘Altos’ en gravedad. De acuerdo con los propios criterios de Mozilla, una gravedad ‘Alta’ significa que la Vulnerabilidad se puede usar para recopilar datos confidenciales de sitios en otras ventanas, o inyectar datos o código en esos sitios, lo que no requiere más que acciones de navegación normales.
A todos ellos se les han asignado números individuales de vulnerabilidades y vulnerabilidades comunes (CVE), que son un reconocimiento formal en la comunidad de aplicación de la ley de seguridad cibernética. El CERT-In es una de las agencias en el mundo reconocida como autoridad asignadora de CVE.
Mozilla ha lanzado parches para las siete vulnerabilidades y CERT-In ha instado a los usuarios a descargar inmediatamente las últimas actualizaciones para instalar estos parches. La actualización rápida es especialmente importante a la luz de un informe de investigación más reciente, que mostró que los hackers comienzan a buscar y explotar dispositivos con vulnerabilidades sin parches tan pronto como las vulnerabilidades se anuncian oficialmente en el dominio público.
Créditos: Raúl Martínez