La última versión de Firefox fue flor de un día… De dos, para ser más precisos.
Lanzada este martes, la versión 16 del browser de Mozilla tuvo que ser retirada de la página de descargas por poseer 14 vulnerabilidades ---11 de ellas, críticas---, reportó ESET en su blog .
Los huecos de seguridad descubiertos permitirían a los atacantes ejecutar código arbitrario de forma remota en los equipos del usuario y saltar los controles de seguridad que previenen a los sitios web interactuar de forma no legítima con el propio navegador.
Otro de los posibles ataques que podía sufrir la víctima son aquellos que utilizan la técnica de ClickJacking, un ataque en el que se manipula un enlace con el fin de engañar al usuario y que ingrese a un sitio dañino sin saberlo.
“La gran mayoría de estas vulnerabilidades también se encuentran en otros productos de Mozilla, tal como son Mozilla Thunderbird 16y Mozilla SeaMonkey 2.13, los cuales también fueron lanzados el día martes”, aseguró la firma de seguridad.
En el caso de la versión de Firefox para Android, este tipo de vulnerabilidades podían permitir a un sitio web que se abriera en modo lectura y adquirir los permisos sobre el navegador para comprometer el sistema operativo.
Otras vulnerabilidades menos críticas podrían permitir a los atacantes realizar ataques del tipo Cross Site Scripting (XSS) o realizar inyecciones de scripts.
¿Qué dice el zorro?
“La versión para Android se corrigió el 10 de octubre a las 9pm PT”, dijo el director de Security Assurance de Mozilla, Michael Coates, en su blog.
Asegura que no tienen indicios de que las vulnerabilidades estén siendo explotadas ampliamente.
Ya retiraron la versión de la web de instalación, y están trabajando en reparar los problemas encontrados. Mientras tanto, recomienda a los usuarios utilizar la versión 15 del navegador, que no está comprometida.
“Los usuarios serán actualizados automáticamente a la nueva versión en cuanto esté disponible”, sostuvo.