Mozilla ha lanzado Firefox 97.0.2, Firefox ESR 91.6.1, Firefox para Android 97.3.0 y Focus 97.3.0 para corregir dos vulnerabilidades críticas de día cero que se explotan activamente en los ataques
Ambas vulnerabilidades de día cero son errores de "uso después de liberar", que es cuando un programa intenta usar la memoria que se ha borrado previamente. Cuando los actores de amenazas explotan este tipo de error, puede hacer que el programa se bloquee y, al mismo tiempo, permitir que se ejecuten comandos en el dispositivo sin permiso.
Estos errores son críticos porque podrían permitir que un atacante remoto ejecute casi cualquier comando, incluida la descarga de malware para proporcionar más acceso al dispositivo.
Las vulnerabilidades de día cero corregidas por Mozilla son:
CVE-2022-26485 : Use-after-free en el procesamiento de parámetros XSLT: la eliminación de un parámetro XSLT durante el procesamiento podría haber dado lugar a un use-after-free explotable. Hemos recibido informes de ataques en la naturaleza que abusan de esta falla.
CVE-2022-26486 : Use-after-free en WebGPU IPC Framework: un mensaje inesperado en WebGPU IPC framework podría provocar un escape de sandbox explotable y use-after-free. Hemos recibido informes de ataques en la naturaleza que abusan de esta falla.
Como explica el aviso de seguridad de Mozilla , los desarrolladores de Firefox están al tanto de los "informes de ataques en la naturaleza" que explotan activamente estas vulnerabilidades.
Si bien Mozilla no ha compartido cómo los actores de amenazas usan estas vulnerabilidades de día cero en los ataques, es probable que lo hayan hecho al redirigir a los usuarios de Firefox a páginas web creadas con fines malintencionados.Estas vulnerabilidades fueron descubiertas y reveladas a Mozilla por la empresa china de ciberseguridad Qihoo 360 ATA.
Debido a la naturaleza crítica de estos errores, y se están explotando activamente, se recomienda enfáticamente que todos los usuarios de Firefox actualicen sus navegadores de inmediato. También puede descargar la última versión de Mozilla Firefox para Windows, macOS y Linux desde los siguientes enlaces:
Historias relacionadas:
Firefox de Mozilla : Disponible en la tienda de Windows
Mozilla lanza la extensión F1 para compartir webs desde Firefox
El Firefox más rápido y estable
Mozilla dice adios a Firefox 3.0
Microsoft Edge : ahora está por superar a Safari como navegador
Mozilla : está en etapa final de brindar soporte a su aplicación de sincronización de contraseñas
[Fuente]: bleepingcomputer.com
Clker-Free-Vector-Images.( 7 de Marzo de 2022).29546 images. [Fotografía]. Modificado por Carlos Zambrado Recuperado de pixabay.com
