El pasado 23 de marzo la compañía Mozilla lanzó la versión 66.01 de su navegador Firefox con el objetivo de corregir los dos fallos de seguridad críticos halladas en la v66.0 y en todas las versiones anteriores. Las vulnerabilidades son las siguientes:
Esta vulnerabilidad consiste en un problema de sobrecarga del buffer y un fallo de comprobación de límites, ausente en Firefox 66, debido a información de alias incorrecta en el compilador JIT IonMonkey para el método Array.prototype.slice.
Se trata de un problema de “confusión de escritura” en el mismo IonMonkey JIT, pero esta vez en el código. Este fallo podría permitir que un usuario malintencionado leyera y escribiera memoria arbitraria, lo que era (y aún es posible en la v66) posible debido a una gestión incorrecta de of__proto__mutations.
La corrección de este fallo de seguridad se realiza mediante la actualización a Firefox v66.01, versión ya lanzada por la compañía y disponible para los usuarios.
Recursos afectados
- Firefox 66.0 y todas las versiones anteriores
Medidas de mitigación
El CERT de Entelgy Innotec Security recomienda mantener siempre los sistemas actualizados con las últimas revisiones de seguridad. Si bien los usuarios de Firefox deberían recibir las actualizaciones automáticamente (si esta opción está activada) estas también se encuentran disponibles como descargas independientes desde el sitio web oficial de Mozilla: