La versión 16 de Firefox, lanzada el día martes, contiene numerosas vulnerabilidades de las cuales, muchas de ellas, fueron clasificadas como críticas. La gran mayoría de estas vulnerabilidades también se encuentran en otros productos de Mozilla, tal como son Mozilla Thunderbird 16 y Mozilla SeaMonkey 2.13, los cuales también fueron lanzados el día martes.
Recientemente, fueron descubiertas 14 vulnerabilidades en la versión 16 del afamado navegador. Once de esas vulnerabilidades han sido clasificadas con criticidad alta. Muchas de las vulnerabilidades descubiertas permitirían a los atacantes ejecutar código arbitrario de forma remota en los sistemas de las víctimas. Asimismo, sería posible saltar los controles de seguridad que previenen a los sitios web interactuar de forma no legítima con el propio navegador. Otro de los posibles ataques que puede sufrir la víctima son aquellos que utilizan la técnica de ClickJacking. En nuestro post titulado “se comienza a utilizar ClickJacking para engañar a usuarios” existe mayor información referida a esta metodología de ataque.
En el caso de la versión de Firefox para sistemas operativos Android, este tipo de vulnerabilidades podría permitir a un sitio web que se abre en modo lectura, adquirir los permisos sobre el navegador pudiendo comprometer el sistema operativo.
Las tres vulnerabilidades restantes fueron catalogadas con prioridad media. Este tipo de vulnerabilidades podrían permitir a los atacantes realizar ataques del tipo Cross Site Scripting (XSS) o realizar inyecciones de scripts.
Ya se han visto casos similares a este, correspondientes a otros navegadores. El mes pasado se reportó un alerta de una vulnerabilidad 0-day en Internet Explorer que afectaba a la versión 9 y anteriores. Al igual que en ese caso, es recomendable estar atentos a las posibles actualizaciones y parches que se liberan para solucionar estos problemas y no quedar expuestos a un posible ataque. Asimismo, siempre es recomendable contar con las últimas actualizaciones de las aplicaciones, ya que no solo cierran posibles brechas de seguridad, sino que mejoran muchos de los errores en versiones anteriores y mejoran el aprovechamiento de los recursos del sistema. En este caso, la versión 16 de Firefox incluye la solución a numerosas fallas. Asimismo, mejora la respuesta en ejecución de código JavaScript, agrega soporte para las aplicaciones web y cuenta con una barra de herramientas para el desarrollador, entre otras.
Fernando Catoira
Analista de Seguridad
Actualización: 03:00 p.m. [UTC - 03:00 Buenos Aires]: Debido a las graves vulnerabilidades descubiertas en Firefox 16, la versión 15.0.1 se considera como la más reciente y se recomienda volver a la mencionada versión en caso de haber instalado la última. Para realizar el downgrade de versión bastará con instalar la versión anterior mediante el propio instalador. Asimismo, un parche fue liberado para la versión de Firefox para Android.
Actualización: 06:00 p.m. [UTC - 03:00 Buenos Aires]: Mozilla ya ha liberado una actualización que soluciona una de las vulnerabilidades críticas descubiertas en Firefox 16. La versión correspondiente es la 16.0.1. Ya es posible para los usuarios actualizar a la última versión.
