Mozilla lanza actualizaciones de seguridad para peligroso exploit en Firefox

La firma de software Mozilla, a través de su equipo de desarrollo, acaba de lanzar Firefox 67.0.3 y Firefox ESR 60.7.1 o, lo que es lo mismo, dos actualizaciones de seguridad que buscan corregir una vulnerabilidad de día cero de explotación activa que podría permitir a los hackers ejecutar código de manera remota en ordenadores que ejecutan las versiones vulnerables del navegador.

En Mozilla, según explica una nota publicada en el portal Tekcrispy, están conscientes de los ataques informáticos que abusan del mencionado exploit, permitiendo que los hackers tomen control de los ordenadores afectados. El encargado de notificar este fallo de seguridad a la firma fue Samuel Grob, un investigador informático de Google Project Zero.

¿Y de qué trata la vulnerabilidad? Conocido técnicamente como CVE-2019-11707, el fallo se presenta cuando los recursos de JavaScript son manipulados debido a errores del complemento Array.pop. De esta forma, los hackers podrían propiciar un alto grado de confusión engañando a los usuarios de Firefox para que visiten un sitio web creado con fines maliciosos, lo que les permitiría ejecutar código de manera arbitraria en sus ordenadores.

Tanto es el riesgo de esta amenaza que la Agencia de Seguridad de Infraestructura y Ciberseguridad de EEUU (CISA, por sus siglas en inglés) también emitió una advertencia de seguridad donde aconsejó a los usuarios revisar las actualizaciones lanzadas por Mozilla a fin de mitigar este peligro.

Esta, por cierto, no es la primera vulnerabilidad de día cero que recibe una actualización de seguridad importante por parte de Mozilla. Ya en 2016 la empresa lanzó un parche similar para una amenaza que permitía a los hackers eliminar el anonimato de los usuarios del navegador web Tor para recopilar sus datos personales, incluyendo las direcciones MAC, direcciones IP y los nombres de host.