Firefox 69 no fue un lanzamiento llamativo, pero corrigió 17 fallos de seguridad
El martes, Mozilla lanzó una nueva versión de su navegador. Sabíamos que la nueva entrega de Firefox llegaba con una seguridad mejorada, puesto que la ETP (Enhanced Tracking Protection) incluía nuevas funciones activadas por defecto, pero no miramos en el apartado que habla de correcciones de seguridad, en parte porque la mayoría de las veces hablan de fallos poco importantes. Si hemos mirado ha sido porque Canonical ha publicado su propio informe en donde se recogen varias vulnerabilidades CVE que Mozilla ha corregido en Firefox 69.
Para ser más concretos, Firefox 69 ha corregido 17 vulnerabilidades CVE, todas ellas de prioridad media según Canonical, algunas de prioridad alta según Mozilla, como el CVE-2019-11741 o CVE-2019-9812. Canonical dice que están comprometidas las versiones de Ubuntu 19.04, 18.04 LTS y 16.04 LTS, pero los fallos de seguridad aparecen en la página web de seguridad de Mozilla, por lo que creo que no me equivoco si digo que están afectadas todas las versiones de todos los sistemas operativos, Linux o no.
Se descubren 17 vulnerabilidades de urgencia media en Firefox
- Los fallos de seguridad CVE-2019-5849, CVE-2019-11734, CVE-2019-11735, CVE-2019-11737, CVE-2019-11738, CVE-2019-11740, CVE-2019-11742, CVE-2019-11743, CVE-2019-11744, CVE-2019-11746, CVE-2019-11748, CVE-2019-11749, CVE-2019-11750 y CVE-2019-11752 pueden usarse si nos engañan para que abramos webs especialmente diseñadas, con lo que un atacante podría explotar esta acción para obtener información sensible, hacer un bypass a las protecciones CSP, hacer un bypass a las restricciones del mismo origen, realizar ataques XSS, causar denegación de servicio (DoS) o ejecutar código arbitrario. El paquete completo, vamos.
- El fallo CVE-2019-9812 puede ser usado por un atacante en combinación con otra vulnerabilidad para desactivar el sandbox.
- La vulnerabilidad CVE-2019-11741 permitiría a un atacante, en combinación con otra vulnerabilidad, lanzar ataques XSS para modificar los ajustes del navegador.
- Y el fallo CVE-2019-11747 permitiría a un atacante hacer un bypass a las protecciones ofrecidas por el HSTS.
Para corregir todos estos fallos, la solución es sencilla: abrimos nuestro centro de software o la aplicación Actualización de software de nuestra distribución basada en Ubuntu y aplicamos las actualizaciones. La que nos interesa es “firefox – 69.0+build2-0ubuntu0.” + la versión del sistema operativo. Hacedlo ya, por lo que pueda pasar.