Mozilla ha publicado Firefox 97.0.2, una actualización "fuera de banda" que cierra dos errores que figuran oficialmente como críticos.

Mozilla informa que ambos agujeros ya están siendo explotados activamente, lo que los llama errores de día cero, lo que significa, en términos simples, que los delincuentes llegaron primero:

Hemos recibido informes de ataques en la naturaleza que abusan de [estos] defectos.

El acceso a la información sobre los errores aún está restringido a los miembros de Mozilla, presumiblemente para dificultar que los atacantes obtengan los detalles técnicos de cómo explotar estos agujeros de seguridad.

Asumiendo que las vulnerabilidades de día cero existentes no son ampliamente conocidas (en estos días, los verdaderos días cero a menudo son celosamente guardados por sus descubridores porque se consideran tanto escasos como valiosos), limitar temporalmente el acceso a los cambios en el código fuente proporciona cierta protección. contra los ataques de imitadores.

Como hemos mencionado muchas veces antes en Naked Security, encontrar y explotar un agujero de día cero cuando sabes dónde empezar a buscar y qué empezar a buscar es mucho más fácil que descubrir un error de este tipo desde cero.

Los errores se enumeran como:

• CVE-2022-26485. Use-after-free en el procesamiento de parámetros XSLT. Aparentemente, este error ya ha sido explotado para la ejecución remota de código (RCE), lo que implica que los atacantes sin privilegios o cuentas existentes en su computadora podrían engañarlo para que ejecute el código de malware de su elección simplemente atrayéndolo a un sitio web de apariencia inocente pero trampa explosiva.
• CVE-2022-26486, Use-after-free en WebGPU IPC Framework. Aparentemente, este error ya ha sido explotado para lo que se conoce como un escape de sandbox. Por lo general, se puede abusar de este tipo de agujero de seguridad por sí solo (por ejemplo, para dar acceso a un atacante a archivos que se supone que están fuera de los límites), o en combinación con un error RCE para permitir que el malware implantado escape de los límites de seguridad impuestos. por su navegador, lo que hace que una situación ya mala sea aún peor.

uso después de libre Los errores ocurren cuando una parte de un programa indica su intención de dejar de usar una parte de la memoria que se le asignó...

… pero continúa usándolo de todos modos, por lo que podría pisotear los datos en los que ahora se basan otras partes del programa.

En el mejor de los casos, un error de uso después de la liberación generalmente conduce a datos corruptos o a un bloqueo del programa, cualquiera de los cuales puede considerarse un problema de seguridad por derecho propio.

En el peor de los casos, un uso posterior a la liberación conduce a la ejecución remota de código, donde los atacantes modifican deliberadamente los datos pisoteados para engañar al programa para que ejecute código no confiable desde el exterior.

¿Qué hacer?

Visite la Acerca de Firefox cuadro de diálogo para comprobar su versión actual.

Si no está actualizado, Firefox le ofrecerá buscar la actualización y luego presentará una [Restart Firefox] botón; haga clic en el botón o salga y reinicie el navegador para implementar la actualización.

Los números de versión que desea son: Firefox 97.0.2 (si está utilizando la versión regular), o Firefox 91.6.1ESR (si está utilizando la versión de soporte extendido), o Firefox 97.3.0 para Android.

Si está en Android, busque actualizaciones a través de Play Store.

Si eres un usuario de Linux y Firefox es administrado por tu distribución, verifica el creador de tu distribución.

Tenga en cuenta que si aún no tiene la última versión principal (97.0 para Firefox normal o 91.6 para la versión de soporte extendido), es posible que deba completar la actualización en varias etapas, así que asegúrese de volver a visitar la Acerca de Firefox cuadro de diálogo después de que se haya instalado cada actualización, para asegurarse de que ha terminado todos los ciclos necesarios de actualización y reinicio.

• Coinsmart. El mejor intercambio de Bitcoin y criptografía de Europa.
• Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. ACCESO LIBRE.
• CriptoHawk. Radar de altcoins. Prueba gratis.
• Fuente: https://nakedsecurity.sophos.com/2022/03/05/firefox-patches-two-in-the-wild-exploits-update-now/