Ayer por la mañana Mozilla tuvo conocimiento sobre ads con código malicioso que se aprovechan de un exploit de Firefox que no conocían y que permite acceso a ficheros sensibles del ordenador del usuario con solo cargar la página con esos ads. En forma inmediata Mozilla se puso manos a la obra y esta mañana lanzaron una actualización de seguridad que soluciona la vulnerabilidad.
De acuerdo a Daniel Veditz, Jefe de seguridad de Mozilla,
La vulnerabilidad proviene de la interacción del mecanismo que hace cumplir la separación de contexto JavaScript (la «política de mismo origen») y el visor de PDF de Firefox.
La vulnerabilidad no permite la ejecución de código arbitrario, pero el exploit es capaz de inyectar un JavaScript en el contexto de archivos local del ordenador, lo que le permite buscar y copiar ficheros potencialmente sensibles, para luego enviar la copia a un servidor que aparentemente se encuentra en Ucrania.
Es por eso que piden a todos los usuarios de Firefox que actualicen lo antes posible a la versión 39.0.3. Mozilla indica que el arreglo también soluciona la vulnerabilidad en Firefox ESR 38.1.1. Los productos de Mozilla, incluido Firefox para Android, que no tienen el visor de PDF interno, no padecen de esta vulnerabilidad.