Firefox 16.0 con 14 vulnerabilidades

Firefox es el tercer navegador de Internet más utilizado en el mundo, por detrás de Internet Explorer (Microsoft) y Chrome (Google), que lidera el ranking, según Global Stats. 

La versión 16 de Firefox, lanzada el día martes, contiene numerosas vulnerabilidades de las cuales, muchas de ellas, fueron clasificadas como críticas. La gran mayoría de estas vulnerabilidades también se encuentran en otros productos de Mozilla, tal como son Mozilla Thunderbird 16 y Mozilla SeaMonkey 2.13, los cuales también fueron lanzados el día martes.

 
Recientemente, fueron descubiertas 14 vulnerabilidades en la versión 16 del afamado navegador. Once de esas vulnerabilidades han sido clasificadas con criticidad alta. Muchas de las vulnerabilidades descubiertas permitirían a los atacantes ejecutar código arbitrario de forma remota en los sistemas de las víctimas. Asimismo, sería posible saltar los controles de seguridad que previenen a los sitios web interactuar de forma no legítima con el propio navegador. Otro de los posibles ataques que puede sufrir la víctima son aquellos que utilizan la técnica de ClickJacking. En nuestro post  titulado “se comienza a utilizar ClickJacking para engañar a usuarios” existe mayor información referida a esta metodología de ataque.


En el caso de la versión de Firefox para sistemas operativos Android, este tipo de vulnerabilidades podría permitir a un sitio web que se abre en modo lectura, adquirir los permisos sobre el navegador pudiendo comprometer el sistema operativo.
Las tres vulnerabilidades restantes fueron catalogadas con prioridad media. Este tipo de vulnerabilidades podrían permitir a los atacantes realizar ataques del tipo Cross Site Scripting (XSS) o realizar inyecciones de scripts.

Ya se han visto casos similares a este, correspondientes a otros navegadores. El mes pasado se reportó un alerta de una vulnerabilidad 0-day en Internet Explorer que afectaba a la versión 9 y anteriores. Al igual que en ese caso, es recomendable estar atentos a las posibles actualizaciones y parches que se liberan para solucionar estos problemas y no quedar expuestos a un posible ataque. Asimismo, siempre es recomendable contar con las últimas actualizaciones de las aplicaciones, ya que no solo cierran posibles brechas de seguridad, sino que mejoran muchos de los errores en versiones anteriores y mejoran el aprovechamiento de los recursos del sistema. En este caso, la versión 16 de Firefox incluye la solución a numerosas fallas. Asimismo, mejora la respuesta en ejecución de código JavaScript, agrega soporte para las aplicaciones web y cuenta con una barra de herramientas para el desarrollador, entre otras.

Debido a las graves vulnerabilidades descubiertas en Firefox 16, la versión 15.0.1 se considera como la más reciente y se recomienda volver a la mencionada versión en caso de haber instalado la última. Para realizar el downgrade de versión bastará con instalar la versión anterior mediante el propio instalador. Asimismo, un parche fue liberado para la versión de Firefox para Android.

¿Que ha dicho Mozilla?

"Mozilla es consciente de una vulnerabilidad de seguridad en la versión actual de Firefox (versión 16). Estamos activamente trabajando en un plan para enviar actualizaciones mañana y correcciones. La versión anterior de no está afectada".  El director de seguridad de la fundación Mozilla, Michael Coates, anunció ayer por la noche que la organización había decidido retirar temporalmente la descarga de la versión 16 de su navegador Firefox. El fallo permitiría a los piratas informáticos saber qué sitios han visitado los internautas, aunque de momento "solo ha afectado a un número limitado de usuarios".

Mozilla recomendaba a quienes ya habían actualizado el navegador que lo desinstalaran y regresaran a la versión anterior hasta que hubieran resuelto la vulnerabilidad.  "Como medida de precaución, pueden regresar a la versión 15.0.1. Alternativamente, pueden esperar hasta que nuestros parches se publiquen y se apliquen de forma automática para hacer frente a la vulnerabilidad", aseguraba el director de seguridad en el blog oficial.

¡Y actualmente...!

Mozilla ya ha liberado una actualización que soluciona una de las vulnerabilidades críticas descubiertas en Firefox 16. La versión correspondiente es la 16.0.1. Ya es posible para los usuarios actualizar a la última versión.