Aviso de seguridad
Nivel de peligrosidad: Crítico
Descripción
Se ha descubierto una vulnerabilidad crítica que afecta a las versiones de Firefox y Firefox ESR, identificada como CVE-2024-9680 con criticiadad de 9.8. Este fallo de "uso después de liberación" en las líneas de tiempo de animación permite a los atacantes ejecutar código malicioso en el proceso de contenido del navegador. La vulnerabilidad, que está siendo explotada activamente, fue reportada por Damien Schaeffer de ESET y afecta a versiones anteriores de Firefox y Firefox ESR, poniéndolas en riesgo de ataques graves sin necesidad de interacción del usuario.
El fallo permite que los actores maliciosos utilicen memoria liberada, lo que abre la puerta a la ejecución de código en el navegador comprometido. Las versiones afectadas incluyen
Recursos afectados
- Firefox versiones anteriores a < 131.0.2
- Firefox ESR versiones anteriores a < 128.3.1
- Firefox ESR versiones anteriores a < 115.16.1
Solución
Mozilla ha lanzado una actualización de emergencia para corregir esta vulnerabilidad. Se recomienda a todos los usuarios actualizar a las siguientes versiones:
- Firefox >= 131.0.2
- Firefox ESR >= 128.3.1
- Firefox ESR >= 115.16.1
Para actualizar el navegador, los usuarios deben acceder a la configuración de Firefox, seleccionar "Ayuda" y luego "Acerca de Firefox" para verificar si la actualización está disponible. Una vez descargada, el navegador deberá reiniciarse para que se apliquen los cambios.
Recomendaciones
- Actualización inmediata: Es crucial actualizar Firefox o Firefox ESR a las versiones parcheadas mencionadas.
- Monitoreo de entornos empresariales: En entornos corporativos, donde las actualizaciones automáticas están deshabilitadas, los departamentos de TI deben implementar manualmente las actualizaciones para mitigar la vulnerabilidad.
Referencias