Mozilla corrige fallas de Firefox de alto riesgo, mistake en la función DoH


El fabricante del navegador implementa actualizaciones en días consecutivos, incluido un parche para evitar sobrecargar involuntariamente a los proveedores de DNS

El equipo de Mozilla ha tenido unos días productivos, después de haber publicado una actualización de Firefox solo un día después de lanzar la última versión principal del navegador world-wide-web que cerró ocho agujeros de seguridad listados en CVE.

Primero, el martes se produjo el lanzamiento de Firefox 77. en el canal estable para Home windows, macOS y Linux. La nueva versión se envió con un montón de nuevas características y mejoras, así como importantes correcciones de seguridad.

Cinco vulnerabilidades recibieron una puntuación de gravedad alta, y tres de ellas permitieron a los malos actores ejecutar código arbitrario en instalaciones vulnerables. En Las propias palabras de Mozilla, una falla clasificada como de alta gravedad «se puede usar para recopilar datos confidenciales de sitios en otras ventanas o inyectar datos o códigos en esos sitios, que no requieren más que acciones de navegación normales».

Algunas de esas vulnerabilidades también afectaron la versión ESR del navegador, que está destinada a grandes organizaciones y para la cual también se lanzó una nueva compilación (ESR 68.9) el martes. La ronda de actualización también solucionó dos fallas clasificadas como vulnerabilidad moderada y una de bajo riesgo.

La lista completa de los CVE, descubierta por una variedad de expertos, incluidos los propios desarrolladores de Mozilla, académicos de Finlandia e investigadores independientes, está disponible en los últimos avisos de seguridad de Mozilla para Firefox y para Firefox ESR, respectivamente. Es importante destacar que, en el momento del lanzamiento de la actualización, ninguno de los defectos se había detectado como abusado en la naturaleza.

Oh!

Pasó un día y se lanzó otra versión de Firefox, 77..1, para todas las plataformas de escritorio compatibles, mientras que el lanzamiento de Firefox 77. se detuvo. Esta vez, la actualización abordó un problema en el uso del DNS del navegador sobre HTTPS (DoH), un protocolo que el fabricante del navegador primero habilitado de forma predeterminada para usuarios con sede en EE. UU. hace poco más de tres meses. DoH está destinado a mejorar la privacidad y seguridad de las personas en la internet, con otros navegadores importantes como Chrome y Edge moviéndose en la misma dirección.

El error estaba causando algo de denegación de servicio distribuida Condición (DDoS). En palabras de los desarrolladores, parecía ser «efectivamente DDoS &#39NextDNS, uno de nuestros proveedores de DNS sobre HTTP».

“Necesitamos poder implementar esto gradualmente para no sobrecargar a ningún proveedor. Incluso la ejecución en seco implica hasta 10 solicitudes por cliente, lo que puede ser muy significativo cuando se actualiza toda la población de versiones «. por Bugzilla, La herramienta de seguimiento de errores de Mozilla. Según el registro de cambios, la actualización «deshabilitó la selección automática de DNS sobre los proveedores HTTPS durante una prueba para permitir una implementación más amplia de una manera más controlada».

Firefox – que tiene una cuota de mercado del navegador de escritorio del 9 por ciento – es conocido por enviar actualizaciones de seguridad a un ritmo bastante rápido y no solo cuando se enfrenta a un problema de seguridad importante. Hablando de eso, a principios de este año Mozilla apresuró un parche para un día cero solo un día después de enviar una nueva versión principal de su navegador.

A menos que ya haya aplicado las últimas actualizaciones, le recomendamos que las verifique navegando al Menú del navegador y luego haciendo clic en Ayuda y Sobre Firefox.








Enlace a la noticia first