Mozilla parche Firefox de día cero reportado por Qihoo 360


firefox.png

Imagen: Mozilla

Mozilla lanzó hoy Firefox v72..1, una nueva versión del navegador web Firefox que corrige una vulnerabilidad que se explota activamente en la naturaleza.

La vulnerabilidad afecta a IonMonkey, que es un compilador JIT de JavaScript para SpiderMonkey, el componente principal en el núcleo de Firefox que maneja las operaciones de JavaScript (motor JavaScript de Firefox).

La vulnerabilidad se clasificó como una confusión de tipos, un mistake de memoria en el que una entrada de memoria se asigna inicialmente como un tipo, pero se cambia a otro tipo durante la manipulación, lo que causa consecuencias inesperadas en el procesamiento de datos.

«La información de alias incorrecta en el compilador JIT de IonMonkey para configurar los elementos de la matriz podría generar una confusión de tipos», dijeron los desarrolladores de Firefox en un aviso de seguridad hoy.

No hay información disponible sobre cómo se utiliza la vulnerabilidad en la naturaleza.

Mozilla le dio crédito a la firma china de seguridad cibernética Qihoo 360 por encontrar e informar el error.

En un tweet ahora eliminado, Qihoo 360 Main dijo que también hay un día cero de World wide web Explorer que también está bajo ataques activos.

Un portavoz de Qihoo 360 no respondió a una solicitud de comentarios. Microsoft no emitió ninguna actualización de seguridad fuera de banda para World-wide-web Explorer.

Este es el tercer día cero de Firefox que Mozilla ha parcheado durante el último año. Anteriormente parchearon dos días cero en junio pasado (1, 2). Los días cero se utilizaron en ataques contra empleados de Coinbase. Hoy temprano, Mozilla lanzó Firefox 72, que mejora la privacidad, cut down el spam de notificaciones e incluye sus propias correcciones de seguridad.

Los usuarios de Firefox pueden actualizar a Firefox 72..1 utilizando el actualizador incorporado del navegador que se encuentra en Ayuda -> Sobre Firefox.





Enlace a la noticia original