El dia d'ahir un dels nostres companys informava sobre alguns errors trobats que afecten a totes les versions del Firefox doncs es va descobrir una vulnerabilitat de l'tipus zero day al navegador i s'explota activament en atacs dirigits. La bretxa de seguretat es va revelar a través del Projecte Zero de Google i afecta totes les versions del Firefox.
Ara un dia després, novament Mozilla demana a tots els usuaris de el navegador actualitzar novament a una nova versió superior la qual ja alliberada, això amb el motiu que es va descobrir una segona vulnerabilitat zero day al navegador.
Un segon error zero day a Firefox
Mozilla ha llançat Firefox 67.0.4 per a corregir una vulnerabilitat de seguretat que s'ha utilitzat en atacs dirigits contra signatures de moneda digital com Coinbase. Els usuaris de Firefox d'instal·lar immediatament aquesta actualització.
Situats darrere del Firefox 67.0.3 i 60.7.1, es van publicar les versions correctives addicionals 67.0.4 i 60.7.2, que van eliminar la segona vulnerabilitat zero day (CVE-2019-11708), que permet eludir el mecanisme d'aïllament de la sandbox de el navegador.
El problema permet utilitzar la comanda sol·licitar obrir la manipulació de trucades IPC per obrir contingut web en un procés secundari que no fa servir un sandbox.
Combinat amb una altra vulnerabilitat, aquest problema li permet ometre tots els nivells de protecció i organitzar l'execució de l'codi en el sistema.
Abans de ser reparades, les vulnerabilitats identificades en les dues últimes versions del Firefox es van utilitzar per organitzar un atac contra els empleats d'intercanvi d'moneda digital Coinbase i també es van utilitzar per propagar malware per a la plataforma macOS.
La verificació insuficient dels paràmetres passats amb el Prompt: Open missatge d'IPC entre els processos fill i pare pot provocar que el procés pare que no està en un espai aïllat obri el contingut web elegit per un procés fill compromès. Quan es combina amb vulnerabilitats addicionals, això podria resultar en l'execució de codi arbitrari a l'ordinador de l'usuari.
Aquesta setmana, Mozilla va llançar Firefox 67.0.3 per a corregir una vulnerabilitat crítica d'execució remota de codi que s'estava fent servir en atacs dirigits.
Des del seu llançament, es va descobrir que la vulnerabilitat i una altra desconeguda es van encadenar com a part d'un atac de suplantació d'identitat per eliminar i executar càrregues malicioses en les màquines de la víctima.
S'al·lega que la informació sobre la primera vulnerabilitat va ser enviada a Mozilla per un participant de Google Project Zero el 15 d'abril i reparada el 10 de juny a la versió beta del Firefox 68 (probablement els atacants van analitzar la solució publicada i van preparar l'exploit utilitzant una altra vulnerabilitat per evitar l'aïllament de la zona de proves).
Com actualitzar el navegador Firefox a Linux?
Per poder actualitzar a aquesta les noves versions correctives de el navegador i fins i tot instal·lar en cas de no comptar amb aquest, podran fer-ho seguint les instruccions que compartim a continuació.
Usuaris d'Ubuntu, Linux Mint o algun altre derivat d'Ubuntu, poden instal·lar o actualitzar a aquesta nova versió amb ajuda de l'PPA de el navegador.
Aquest el poden afegir a sistema obrint una terminal i executant en ella la següent comanda:
sudo add-apt-repository ppa:ubuntu-mozilla-security/ppa -y sudo apt-get update
Fet això ara només s'han d'instal·lar amb:
sudo apt install firefox
Per a la la resta de les distribucions de Linux, poden descarregar els paquets binaris des de la el següent enllaç.
O verificar si la nova versió ja va ser incorporada dins dels repositoris de la teva distro.
Una altra forma d'actualitzar el navegador a l'última versió és obrint el navegador aquí els usuaris poden buscar manualment actualitzacions al menú de Firefox -> Ajuda -> Quant al Firefox. Firefox buscarà automàticament una nova actualització i la instal·larà.
També s'espera que la correcció d'errors del Firefox per al segon error zero day descobert arribin a el navegador Tor en els pròxims dies.
Ja que el dia d'avui, l'equip de el Navegador Tor es va actualitzar a la versió 8.5.2, que inclou la solució per al primer error zero day que es va detectar en la branca del Firefox.