Firefox 66.0.1 disponible, corrige dos vulnerabilidades críticas
Esta semana, el pasado día 19, Mozilla lanzó una actualización importante para su navegador. Un par de días después, la nueva versión llegó a los repositorios oficiales y hoy, dos días más tarde, la compañía ha lanzado Firefox 66.0.1, una versión que llega para corregir dos fallos de seguridad críticos que fueron encontrados en el concurso de hacking Pwn2Own, donde se dedican a encontrar y explotar este tipo de fallos, pero para nuestro bien.
Firefox 66.0.1 está disponible para Windows, Mac y Linux, pero aún no lo está ni como paquete snap ni en los repositorios oficiales. Teniendo en cuenta lo que tardó en llegar la v66, podemos pensar que la v66.0.1 estará disponible el próximo lunes. Es POR ESTO que son tan importantes los paquetes snap u otros similares como Flatpak: aunque en la Snappy Store aún no aparece, el paquete snap recibe las actualizaciones vía Push, es decir, el mismo programa las recibe nada más abrirlo.
Firefox 66.0.1 llegará pronto a los repositorios oficiales
Los fallos que corrige esta versión son los CVE-2019-9810 y CVE-2019-9813, ambos encontrados por Richard Zhu, Amat Cama y Niklas Baumstark a través de la iniciativa Zero Day de Trend Micro. El primero de los dos describe un problema de sobrecarga del buffer y un fallo de comprobación de límites ausente en Firefox 66 debido a información de alias incorrecta en el compilador JIT IonMonkey para el método Array.prototype.slice.
Por otra parte, el CVE-2019-9813 se trata de un problema de “confusión de escritura” en el mismo IonMonkey JIT, pero esta vez en el código. Este fallo podría permitir que un usuario malintencionado leyera y escribiera memoria arbitraria, lo que era (y aún es posible en la v66) posible debido a una gestión incorrecta de of__proto__mutations.
Mozilla recomienda a todos los usuarios que actualicemos en cuento nos sea posible. Como hemos mencionado anteriormente, los usuarios de Windows y macOS podrán hacerlo desde el aviso que Firefox muestra cuando hay una actualización disponible gracias a que en esos sistemas hacía tiempo que existían las actualizaciones Push. Los usuarios de Linux podemos descargar la nueva versión y realizar la instalación manual, pero no es lo más recomendado. Los que estén usando el paquete snap podrán actualizar ya, mientras que los que usamos la versión APT tendremos que esperar un par de días. Esperemos pues.
El artículo Firefox 66.0.1 disponible, corrige dos vulnerabilidades críticas ha sido originalmente publicado en Linux Adictos.