50 razones para pulsar "Actualizar": los ciberdelincuentes ya saben cómo vulnerar tu Firefox
Firefox 148 corrige vulnerabilidades críticas en su sistema de protección de memoria
En la nueva versión del navegador Firefox los desarrolladores corrigieron decenas de vulnerabilidades peligrosas, muchas de las cuales podrían haber permitido la ejecución de código ajeno en el equipo de la víctima. La actualización a la versión 148 fue una de las más extensas en tiempo reciente por el número de problemas solucionados.
La organización Mozilla Foundation informó de la corrección de más de 50 vulnerabilidades en Firefox 148. La mayor parte de ellas recibió un alto nivel de riesgo. Se trata de errores en el manejo de memoria, desbordamientos de enteros, accesos fuera de los límites permitidos y uso de memoria liberada. Estas fallas a menudo son el punto de partida de ataques, ya que permiten vulnerar los mecanismos de protección del navegador.
Se detectaron problemas graves en el motor JavaScript, incluida su subsistema de recolección de basura y el módulo JIT, que se encarga de la ejecución acelerada del código. Se corrigieron errores en el soporte de WebAssembly, así como en los componentes DOM, IndexedDB y WebRender. En varios casos las vulnerabilidades permitían escapar del sandbox del navegador, es decir, eludir una de las restricciones clave de seguridad.
Problemas aislados afectaron el procesamiento de audio y vídeo, el trabajo con gráficos y los mecanismos de red. En la versión para Android se solucionó una fuga de datos debida al uso de memoria no inicializada, así como un error en el mecanismo WebAuthn que podría haber provocado la suplantación de datos.
Además, los desarrolladores corrigieron un conjunto de errores relacionados con la seguridad de la memoria en Firefox 148 y en el cliente de correo Thunderbird 148. En versiones anteriores, Firefox 147 y Thunderbird 147 mostraron indicios de corrupción de memoria. En determinadas condiciones un atacante podría explotar esas fallas para ejecutar código arbitrario. Correcciones similares se incluyeron en las versiones de soporte extendido Firefox ESR 115.33 y 140.8, así como en Thunderbird ESR 140.8.
Parte de las vulnerabilidades recibió un nivel de riesgo medio y bajo; sin embargo, incluso estas en conjunto podían aumentar el riesgo de ataques. Los desarrolladores recomiendan instalar la actualización lo antes posible, ya que la información sobre algunos errores ya se ha publicado y, por tanto, podrían intentar explotarlas en condiciones reales.