Mozilla lanzó Firefox 74.0.1 y Firefox ESR 68.6.1 anteriormente para abordar dos vulnerabilidades críticas de las que se explotan activamente, y que podrían conducir a la ejecución remota de código en máquinas vulnerables.
Los dos defectos de seguridad corregidos hoy podrían permitir a los atacantes ejecutar código arbitrario o provocar bloqueos en máquinas que ejecutan versiones vulnerables de Firefox.
Como dice el aviso de seguridad de Mozilla, los desarrolladores de Firefox "son conscientes de los ataques dirigidos, por la naturaleza que explotan" de estas dos vulnerabilidades con una calificación de gravedad crítica.
Los defectos de día cero de Firefox y Firefox ESR corregidos por Mozilla hoy fueron reportados por Francisco Alonso, trabajando con Javier Marcos de JMP Security.
El primero, rastreado como CVE-2020-6819, se debe a un error de uso posterior libre (use-after-free bug) causado por una condición de carrera al ejecutar el destructor nsDocShell.
El segundo 0 day corregido, registrado como CVE-2020-6820, también es inducido por un error de uso libre posterior (use-after-free bug) generado por una condición de carrera al manejar un ReadableStream.
Los atacantes remotos no autenticados pueden engañar a las víctimas potenciales para que visiten un sitio web creado con fines malintencionados para activar estas dos vulnerabilidades y, posteriormente, ejecutar código arbitrario en dispositivos que ejecutan versiones sin parches de Firefox.
La explotación exitosa de una de estas vulnerabilidades puede permitir a los atacantes comprometer los sistemas vulnerables.
Si bien no hay información adicional sobre cómo se explotaron estos defectos en este momento, dado que se consideran críticos y actualmente explotados en la naturaleza, todos los usuarios deben instalar la versión parcheada de Firefox 74.0.1.
La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) también emitió una alerta diciendo que "un atacante podría explotar esta vulnerabilidad para tomar el control de un sistema afectado", y alentar a los usuarios a aplicar la actualización de seguridad.
https://www.bleepingcomputer.com/news/security/mozilla-patches-two-actively-exploited-firefox-zero-days/ 
Tema: Mozilla parchea dos 0 Day en Firefox considerados como críticos: Actualiza! (Leído 603 veces)
Páginas: [1]
!! ADVERTENCIAS !!: Las informaciones aquí publicadas NO CONTIENEN KEYS para la decodificación de ningún sistema: NO SON OPERATIVOS en sistemas SAT que precisen de su correspondiente suscripción. ESTA TOTALMENTE PROHIBIDO EL USO DE ESTAS INFORMACIONES PARA LA MODIFICACIÓN O DEFRAUDACIÓN DE SISTEMAS DE ACCESO CONDICIONAL. EN ESTOS FOROS NO SE PERMITE LA PUBLICACIÓN DE INFORMACIONES ILEGALES POR PARTE DE LOS USUARIOS. EN CASO DE DETECTARSE ESTE TIPO DE INFORMACIONES, LOS USUARIOS SERÁN EXCLUIDOS DE ESTAS PÁGINAS.