El equipo de desarrollo de Mozilla ha lanzado Firefox 67.0.3 y Firefox ESR 60.7.1, un par de actualizaciones de seguridad que buscan corregir una vulnerabilidad de día cero de explotación activa que podría permitir a los hackers ejecutar código de manera remota en ordenadores que ejecutan las versiones vulnerables del navegador.
Según el aviso de seguridad de Mozilla, los desarrolladores del software están conscientes de los ataques informáticos que abusan de este exploit, permitiendo que los hackers tomen control de los ordenadores afectados. El encargado de notificar este fallo de seguridad a Mozilla fue Samuel Grob, un investigador informático de Google Project Zero.
¿Cómo podría atacar un hacker?
La vulnerabilidad, conocida técnicamente como CVE-2019-11707, se presenta cuando los recursos de JavaScript son manipulados debido a fallos del complemento Array.pop. De esta forma, los hackers podrían propiciar un alto grado de confusión engañando a los usuarios de Firefox para que visiten un sitio web creado con fines maliciosos, lo que les permitiría ejecutar código de manera arbitraria en sus ordenadores.
Por su parte, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA, por sus siglas en inglés), también emitió una advertencia de seguridad donde aconsejó a los usuarios revisar las actualizaciones lanzadas por Mozilla a fin de mitigar la amenaza.
Esta no es la primera vulnerabilidad de día cero no es la primera que recibe una actualización de seguridad importante. En 2016, Mozilla lanzó un parche similar para una amenaza que permitía a los hackers para eliminar el anonimato de los usuarios del navegador web Tor para recopilar sus datos personales, incluyendo las direcciones MAC, direcciones IP y los nombres de host.
Por su parte, otras compañías como Microsoft y Google han lanzado actualizaciones de seguridad similares que han permitido mitigar amenazas de ejecución remota de código malicioso, lo que demuestra que todo el sector tecnológico está trabajando constantemente para mejorar la seguridad informática de sus herramientas ante la inminente presencia de los hackers.