Mozilla arregló tres vulnerabilidades críticas cuando lanzó Firefox 55 el martes 8 de Agosto, incluyendo errores que podrían haber provocado un fallo del navegador y permitido la ejecución de código arbitrario.

La vulnerabilidad de ejecución de código se debe a una vulnerabilidad de inyección de XUL debido a una desinfección incorrecta del código fuente de la página web. XUL o XML User Interface Language, es el lenguaje de Mozilla para crear interfaces de aplicaciones.

Frederik Braun, un ingeniero de seguridad con base en Berlín para Mozilla que encontró la vulnerabilidad, advierte que el error podría permitir la ejecución de código si un usuario abriera una página malintencionada con la herramienta de desarrollo del editor de estilo del navegador.

Los otros dos fallos críticos, en las vulnerabilidades de uso después de la liberación, podrían haber conducido a fallas explotables.

Uno podría haber ocurrido en la tecnología WebSockets del navegador si “un objeto que sostiene la conexión se libera antes de que se termine la operación de desconexión”. El segundo error, descubierto por Nils, podría haber ocurrido mientras “se vuelve a calcular el diseño de un elemento de marquesina durante el cambio de tamaño de la ventana en el que se libera el objeto de estilo actualizado mientras todavía está en uso. ”

Un puñado de otros problemas, incluyendo cuatro vulnerabilidades adicionales de uso posterior, un desbordamiento de búfer y un bypass de mismo origen, todos marcados con alta severidad, también fueron arreglados el martes. Los errores se podrían utilizar para evitar las protecciones de memoria, llevar a la divulgación de información, o como las vulnerabilidades críticas, dar lugar a una falla en el navegador.

Con Firefox 55 se corrigieron en total veintinueve vulnerabilidades, y llego la primera reiteración del navegador para activar la funcionalidad de activación por clic para Flash de forma predeterminada. Las vulnerabilidades corregidas están clasificadas como sigue a continuación: 5 Críticas, 11 Altas (High), 7 Moderadas y 6 Bajas (Low).

El movimiento sobre los plugins ha estado en la palestra durante años. Mozilla primero permitió hacer clic para habilitar virtualmente todos los plugins, excepto con la última versión de Flash, a finales del 2013.

Las versiones anteriores de Firefox daban a los usuarios la opción de deshabilitar Flash por defecto. Al permitir que Flash se ejecute por demanda, el navegador solicitará a los usuarios si desean activar el software al navegar a una página que lo requiera.

El movimiento se produce unas semanas después de que Adobe anunció que finalmente mataría a Flash a finales del 2020.

Benjamin Smedberg, director senior de ingeniería de Mozilla, dijo poco después del anuncio de Adobe que Firefox planeaba desactivar Flash de forma predeterminada en 2019. La versión de Extended Support Release (ESR) de Firefox permitirá a los usuarios seguir utilizando Flash hasta finales de 2020.

“Con el fin de preservar la seguridad del usuario, una vez que Flash ya no sea actualizado con los parches de seguridad de Adobe, ninguna versión de Firefox cargará el complemento”, escribió Smedberg.

Fuente: ThreatPost

Anuncios