El Equipo de Respuesta a Emergencias Informáticas de la India (CERT-In) ha emitido una nota en la que informa de varias vulnerabilidades de gravedad alta que afectan a múltiples versiones del navegador web Mozilla Firefox, tanto en las versiones normales como en las ESR (Extended Support Release). Para solucionar estos problemas no existen parches, por lo que la única solución es actualizar el navegador a la versión 80 o, en el caso de las versiones de soporte extendido, a la 68.12 o a la 78.12, que no sufren estos problemas.
Según afirma la entidad india de seguridad, el origen de estas vulnerabilidades de Firefox se debe a problemas con el servicio de mantenimiento de Mozilla, manejo inadecuado de determinados indicadores, uso inadecuado de las firmas ECDSA, un error de canal lateral en P-384 y P-521 y un fallo con el restablecimiento inadecuado de la barra de direcciones después de la descarga previa. También hay problemas con determinados cuadros de diálogo, un problema al cargar un contenido que no es de vídeo pero que se identifica como tal con una etiqueta MIME, problemas con determinados buffers y contenidos de gran tamaño…
La consecuencia de estas vulnerabilidades es que un sitio web diseñado de manera específica para explotarlas podría permitir a un atacante remoto escalar privilegios, eludir restricciones de seguridad, acceder a información confidencial, realizar ataques de suplantación de identidad, llevar a cabo un ataque de canal lateral y ejecutar código arbitrario en el sistema objetivo. Una combinación realmente nefasta y que ha ocasionado la publicación de esta última versión de Firefox, así como la revisión de las versiones de Firefox ESR que previenen estos problemas.
Salvo en el caso de las versiones de soporte extendido, cada día más comunes tanto en aplicaciones como en sistemas operativos, por norma general la práctica más recomendable es mantener nuestro software siempre actualizado. Y sí, lo sé, es cierto que en ocasiones las nuevas versiones pueden tener fallos, ser inestables, etcétera. Por eso no hablo de actualizar de manera inmediata, es razonable esperar unos días hasta que la comunidad haya generado el feedback necesario para realizar la actualización informada. Pero repito, salvo en versiones de soporte extendido, permanecer meses con software sin actualizar es un riesgo.
Y como muestra un botón, ¿recuerdas el ataque de ransomware sufrido por Travelex? Haber actualizado su software de VPN a tiempo habría impedido que el ataque se produjera. Y si estás pensando que se trata de un caso aislado, siento decirte que no es así. Hace solo unas semanas supimos de más de 900 redes corporativas afectadas, muchos meses después, por el mismo problema que provocó que Travelex tuviera que pagar 2,3 millones de dólares.
Créditos: Muy seguridad