Un nuevo riesgo relacionado con el uso de navegadores web ha sido revelado. Expertos en seguridad de la información descubrieron múltiples fallas de seguridad en Mozilla Firefox; la explotación de la más severa de estas vulnerabilidades permitiría la ejecución de código remoto en el contexto de un usuario conectado.
Los actores de amenazas podrían instalar programas; ver, cambiar o eliminar datos e incluso crear nuevas cuentas de administrador, dependiendo de los privilegios asociados al usuario objetivo. Es importante mencionar que si una cuenta de usuario está configurada con privilegios reducidos, podría verse menos afectada que una cuenta con privilegios de usuario administrador.
A continuación, los expertos en seguridad de la información enlistan las vulnerabilidades encontradas, con sus respectivas claves de identificación según el Common Vulnerability Scoring System (CVSS).
- CVE-2020-12399: Esta es una vulnerabilidad de tiempo que se presenta al realizar firmas DSA, lo que podría filtrar claves privadas
- CVE-2020-12405: Vulnerabilidad use-after-free en SharedWorkerService que causa fallas en el sistema
- CVE-2020-12406: Vulnerabilidad de confusión de tipos que permite la ejecución de código arbitrario debido a un error durante la eliminación de objetos JavaScript
- CVE-2020-12407: Vulnerabilidad de filtración de memoria en WebRender que permite que un usuario local acceda al contenido de la memoria
- CVE-2020-12408: Vulnerabilidad de falsificación de identidad que permitiría a los hackers redirigir a los usuarios a sitios web maliciosos
- CVE-2020-12409: Vulnerabilidad de falsificación de identidad que permitiría a los hackers redirigir a los usuarios a sitios web maliciosos
- CVE-2020-12410: Vulnerabilidad de desbordamiento de búfer que permiten la ejecución de código arbitrario debido a errores al procesar contenido HTML
- CVE-2020-12411: Vulnerabilidad de desbordamiento de búfer que permiten la ejecución de código arbitrario debido a errores al procesar contenido HTML
Las fallas podrían afectar a usuarios en grandes y pequeñas organizaciones, ya sean públicas o privadas. Las vulnerabilidades también pueden afectar entornos empresariales, mencionan los especialistas en seguridad de la información.
Por el momento se desconoce la existencia de soluciones alternativas funcionales, por lo que se recomienda a los usuarios aplicar las siguientes medidas de seguridad:
- Instalar los parches lanzados por Mozilla para sistemas vulnerables
- Ejecutar cualquier software como usuario sin privilegios administrativos para mitigar el alcance de un potencial ataque
- Evitar el uso de sitios web no confiables o enlaces a sitios desconocidos
- Aplicar el Principio de Privilegio Mínimo a todos los sistemas y servicios
Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad