22 noviembre 2024

Grave vulnerabilidad en Firefox permite acceso a ficheros sensibles del ordenador del usuario!

Ayer por la mañana Mozilla tuvo conocimiento sobre ads con código malicioso que se aprovechan de un exploit de Firefox que no conocían y que permite acceso a ficheros sensibles del ordenador del usuario con solo cargar la página con esos ads.  En forma inmediata Mozilla se puso manos a la obra y esta mañana lanzaron una actualización de seguridad que soluciona la vulnerabilidad.

De acuerdo a Daniel Veditz, Jefe de seguridad de Mozilla,

La vulnerabilidad proviene de la interacción del mecanismo que hace cumplir la separación de contexto JavaScript (la «política de mismo origen») y el visor de PDF de Firefox.

La vulnerabilidad no permite la ejecución de código arbitrario, pero el exploit es capaz de inyectar un JavaScript en el contexto de archivos local del ordenador, lo que le permite buscar y copiar ficheros potencialmente sensibles, para luego enviar la copia a un servidor que aparentemente se encuentra en Ucrania.

Es por eso que piden a todos los usuarios de Firefox que actualicen lo antes posible a la versión 39.0.3. Mozilla indica que el arreglo también soluciona la vulnerabilidad en Firefox ESR 38.1.1.  Los productos de Mozilla, incluido Firefox para Android, que no tienen el visor de PDF interno, no padecen de esta vulnerabilidad.

Siguenos por Twitter a través de @Geeksroom y no te pierdas todas las noticias, cursos gratuitos y demás artículos. También puedes seguirnos a través de nuestro canal de Youtube para ver nuestros vídeos, a través de Instagram para ver nuestras imágenes! O vía Bluesky si ya estás cansado de Twitter

Hector Russo

Desde su juventud se ha dedicado a la Tecnología de la Información. En su oportunidad fue incluido por Ivy Worldwide en su lista Top 25 influencers en Tecnología. Actualmente es miembro del panel de jurados que elige los mejores vehículos del año para el mercado hispano de Estados Unidos, a través de los Hispanic Motor Press Awards.

Ver todas las entradas de Hector Russo →