Actualizaciones recientes a Apple Safari y Google Chrome ocupó grandes titulares porque corrigieron misteriosas hazañas de día cero que ya se estaban utilizando en la naturaleza.
Pero esta semana también vimos la última actualización cuatrisemanal de Firefox, que cayó como de costumbre el martes, cuatro semanas después del último lanzamiento programado de incremento de número de versión completo.
No hemos escrito sobre esta actualización hasta ahora porque, bueno, porque la buena noticia es...
…que aunque hubo un par de correcciones intrigantes e importantes con un nivel de Alta, no hubo ningún día cero, ni siquiera ningún Critical errores este mes.
Errores de seguridad de la memoria
Como es habitual, el equipo de Mozilla asignó dos números generales de CVE a los errores que encontraron y corrigieron utilizando técnicas proactivas como fuzzing, donde el código con errores se prueba automáticamente en busca de fallas, se documenta y se repara sin esperar a que alguien descubra qué tan explotables podrían ser esos errores:
- CVE-2022-38477 cubre errores que afectan solo a las compilaciones de Firefox basadas en el código de la versión 102 y posteriores, que es el código base utilizado por la versión principal, ahora actualizado a 104.0, y la versión principal de Extended Support Release, que ahora es ESR 102.2.
- CVE-2022-38478 cubre errores adicionales que existen en el código de Firefox desde la versión 91, porque esa es la base de la versión de soporte extendido secundaria, que ahora se encuentra en ESR 91.13.
Como de costumbre, Mozilla es lo suficientemente claro como para hacer el simple pronunciamiento de que:
Algunos de estos errores mostraron evidencia de corrupción de memoria y suponemos que con suficiente esfuerzo algunos de estos podrían haber sido explotados para ejecutar código arbitrario.
ESR desmitificado
Como hemos explicado antes, Versión de soporte extendido de Firefox está dirigido a usuarios domésticos conservadores y administradores de sistemas corporativos que prefieren retrasar las actualizaciones de características y los cambios de funcionalidad, siempre que no se pierdan las actualizaciones de seguridad al hacerlo.
Los números de versión de ESR se combinan para decirle qué conjunto de funciones tiene, además de cuántas actualizaciones de seguridad ha habido desde que salió esa versión.
Entonces, para ESR 102.2, tenemos 102+2 = 104 (la versión de vanguardia actual).
Del mismo modo, para ESR 91.13, tenemos 91+13 = 104, para dejar en claro que, aunque la versión 91 todavía tiene el conjunto de funciones de hace aproximadamente un año, está actualizada en lo que respecta a los parches de seguridad.
La razón por la que hay dos ESR en cualquier momento es para proporcionar un período sustancial de duplicación entre versiones, por lo que nunca tendrá que asumir nuevas funciones solo para obtener correcciones de seguridad; siempre hay una superposición durante la cual puede seguir usando el ESR anterior. mientras prueba el nuevo ESR para prepararse para el cambio necesario en el futuro.
Errores de suplantación de confianza
Las dos vulnerabilidades específicas y aparentemente relacionadas que el hecho Alta categoría este mes fueron:
- CVE-2022-38472: Suplantación de identidad de la barra de direcciones a través del manejo de errores XSLT.
- CVE-2022-38473: Los documentos XSLT de origen cruzado habrían heredado los permisos de los padres.
Como puedes imaginar, estos errores significan que el contenido no autorizado obtenido de un sitio que de otro modo parece inocente podría terminar con Firefox engañándote para que confíes en páginas web en las que no deberías.
En el primer error, Firefox podría verse tentado a presentar contenido servido desde un sitio desconocido y no confiable como si proviniera de una URL alojada en un servidor que ya conocía y en el que confiaba.
En el segundo error, el contenido web de un sitio no confiable X se muestra en una subventana (un IFRAME, corto para marco en línea) dentro de un sitio de confianza Y…
…podría terminar con permisos de seguridad "prestados" de la ventana principal Y que no esperaría que se transfirieran (y que no otorgaría a sabiendas) a X, incluido el acceso a su cámara web y micrófono.
¿Qué hacer?
En computadoras de escritorio o portátiles, vaya a Ayuda > Acerca de Firefox para comprobar si estás actualizado.
Si no, el Acerca ventana le pedirá que descargue y active la actualización necesaria: está buscando 104.0o ESR 102.2o ESR 91.13, según la serie de lanzamiento en la que se encuentre.
En su teléfono móvil, consulte con Google Play o de Apple App Store para asegurarse de que tiene la última versión.
En Linux y los BSD, si confía en la versión de Firefox empaquetada por su distribución, consulte con el fabricante de su distribución para obtener la última versión que hayan publicado.
¡Feliz parcheo!
- blockchain
- Coingenius
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- departamento de seguridad nacional
- billeteras digitales
- Firefox
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- Mozilla
- Seguridad desnuda
- NexBLOC
- Patch
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- vulnerabilidad
- seguridad del sitio web
- zephyrnet
![T3 Ep107: Ocho meses para echar a los delincuentes ¿y crees que es BUENO? [Audio + Texto] PlatoBlockchain Inteligencia de Datos. Búsqueda vertical. Ai.](https://platoblockchain.com/wp-content/uploads/2022/09/bn-1200-300x157.png "T3 Ep107: ¿Ocho meses para echar a los ladrones y crees que eso es BUENO? [Audio + Texto]")
![T3 Ep94: Este tipo de criptografía (grafía) y el otro tipo de criptografía (¡moneda!) [Audio + Texto] PlatoBlockchain Data Intelligence. Búsqueda vertical. Ai.](https://platoblockchain.com/wp-content/uploads/2022/08/s3-ep94-200000000-300x157.png "T3 Ep94: Este tipo de criptografía (grafía) y el otro tipo de criptografía (¡moneda!) [Audio + Texto]")
