(https://i.postimg.cc/L870gWxG/Mozilla.png) (https://postimages.org/)
Mozilla lanzó Firefox 74.0.1 y Firefox ESR 68.6.1 anteriormente para abordar dos vulnerabilidades críticas de las que se explotan activamente, y que podrían conducir a la ejecución remota de código en máquinas vulnerables.
Los dos defectos de seguridad corregidos hoy podrían permitir a los atacantes ejecutar código arbitrario o provocar bloqueos en máquinas que ejecutan versiones vulnerables de Firefox.
Como dice el aviso de seguridad de Mozilla, los desarrolladores de Firefox "son conscientes de los ataques dirigidos, por la naturaleza que explotan" de estas dos vulnerabilidades con una calificación de gravedad crítica.
Los defectos de día cero de Firefox y Firefox ESR corregidos por Mozilla hoy fueron reportados por Francisco Alonso, trabajando con Javier Marcos de JMP Security.
El primero, rastreado como CVE-2020-6819, se debe a un error de uso posterior libre (use-after-free bug) causado por una condición de carrera al ejecutar el destructor nsDocShell.
El segundo 0 day corregido, registrado como CVE-2020-6820, también es inducido por un error de uso libre posterior (use-after-free bug) generado por una condición de carrera al manejar un ReadableStream.
Los atacantes remotos no autenticados pueden engañar a las víctimas potenciales para que visiten un sitio web creado con fines malintencionados para activar estas dos vulnerabilidades y, posteriormente, ejecutar código arbitrario en dispositivos que ejecutan versiones sin parches de Firefox.
La explotación exitosa de una de estas vulnerabilidades puede permitir a los atacantes comprometer los sistemas vulnerables.
Si bien no hay información adicional sobre cómo se explotaron estos defectos en este momento, dado que se consideran críticos y actualmente explotados en la naturaleza, todos los usuarios deben instalar la versión parcheada de Firefox 74.0.1.
La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) también emitió una alerta diciendo que "un atacante podría explotar esta vulnerabilidad para tomar el control de un sistema afectado", y alentar a los usuarios a aplicar la actualización de seguridad.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/mozilla-patches-two-actively-exploited-firefox-zero-days/