Comunidad 
Cisco Meraki
Buscar
Cerrar este cuadro de búsqueda.

Firefox 104

Esta semana, prepárate para Firefox 104: ¡la última actualización!, en el ramo de la ofimática las actualizaciones en los navegadores son sumamente importantes. 

Las recientes actualizaciones de Apple Safari y Google Chrome han sido noticia porque han corregido misteriosos exploits de día cero que se estaban utilizando activamente. Sin embargo, esta semana también se ha realizado la última actualización de Firefox, que llegó como siempre el martes, cuatro semanas después del último lanzamiento programado con un número de versión completo.

Como es habitual, el equipo de Mozilla asignó dos números CVE generales a los fallos que encontraron y corrigieron utilizando técnicas proactivas como el fuzzing, en el que el código con fallos se analiza automáticamente en busca de fallos, se documenta y se parchea sin esperar a que alguien descubra lo peligrosos que pueden ser esos fallos:

  • CVE-2022-38477 cubre los fallos que afectan sólo a las compilaciones de Firefox basadas en el código de la versión 102 y posteriores, que es la base de código utilizada por la versión principal, ahora actualizada a 104.0, y la versión primaria Extended Support Release, que es ahora ESR 102.2.
  • CVE-2022-38478 cubre errores adicionales que existen en el código de Firefox que se remonta a la versión 91, porque esa es la base de la versión secundaria Extended Support Release, que ahora es la ESR 91.13.
 

Como de costumbre, Mozilla es lo suficientemente claro como para hacer el simple pronunciamiento de que:

Algunos de estos fallos mostraban evidencias de corrupción de memoria y suponemos que con suficiente esfuerzo algunos de ellos podrían haber sido explotados para ejecutar código arbitrario.

OFIMÁTICA

Las dos vulnerabilidades específicas y aparentemente relacionadas que obtuvieron la calificación alta este mes fueron

  • CVE-2022-38472: falsificación de la barra de direcciones a través del manejo de errores XSLT.
  • CVE-2022-38473: los documentos XSLT de origen cruzado habrían heredado los permisos del padre.
  •  

Como puedes imaginar, estos fallos significan que el contenido fraudulento obtenido de un sitio que parece inocente podría terminar con Firefox engañándote para que confíes en páginas web que no deberías.

En el primer fallo, Firefox podría ser engañado para presentar el contenido servido desde un sitio desconocido y no fiable como si viniera de una URL alojada en un servidor que ya conocías y en el que confiabas.

En el segundo fallo, el contenido web de un sitio X no fiable mostrado en una subventana (un IFRAME, abreviatura de inline frame) dentro de un sitio fiable podría terminar con permisos de seguridad “prestados” de la ventana principal Y que no esperarías que se pasaran (y que no concederías a sabiendas) a X, incluyendo el acceso a tu cámara web y micrófono.

En ordenadores de sobremesa o portátiles, ve a Ayuda > Acerca de Firefox para comprobar si estás actualizado.

Si no lo estás, la ventana “Acerca de” te pedirá que descargues y actives la actualización necesaria: buscas la 104.0, o la ESR 102.2, o la ESR 91.13, dependiendo de la serie de versiones que utilices.

En tu teléfono móvil, comprueba en Google Play o en la App Store de Apple que tienes la última versión.

En Linux y los BSD, si confías en la versión de Firefox empaquetada por tu distribución, comprueba con el fabricante de tu distribución la última versión que han publicado.

Agradecemos a:

mbrhosting.com y mbr.mx