Probablemente hayas oído hablar de la luna azul, que es la segunda luna llena en cualquier mes de calendario. La última fue en 2018, la próxima será en octubre de 2020.
En esos términos, el 28 de julio de 2020 fue la actualización luna azul de Firefox: la segunda corrección de seguridad importante del mes, dado que Mozilla ahora tiene el ritmo de los martes cada cuatro semanas, y Firefox 78.0 salió el primer día del mes .
Curiosamente, no se reciben dos actualizaciones programadas en un mes en otras fuentes, porque el algoritmo de Mozilla es ligeramente diferente (y, en términos estrictos, es más regular) que otros programas conocidos.
Microsoft y Adobe siguen el proceso de “el segundo martes de cada mes”, Oracle tiene un sistema que ofrece “cuatro veces al año el martes más cercano al día 17 del primer mes de cada trimestre ” (¡no nos preguntes, no sabemos por qué!), Y Apple se decanta por “cuándo las soluciones de seguridad están listas e intencionadamente no decimos exactamente cuándo por razones de seguridad”.
En otras palabras, si Firefox dice hoy que tiene una actualización lista, numerada 79.0 y que le brinda actualizaciones de funciones y correcciones de seguridad, no es un error a pesar de que ya publicaron una actualización a principios de julio de 2020.
La buena noticia es que esta vez no hay soluciones críticas de seguridad en el boletín de seguridad de Mozilla MFSA2020-30.
Sin embargo, tres errores, CVE-2020-15652, CVE-2020-6514 y CVE-2020-15655, tienen una calificación alta, y definitivamente vale la pena parchear sobre todo por el del medio.
CVE-2020-6514 fue descubierto por la conocida cazadora de errores de Google, Natalie Silvanovich, y se describe como “el canal de datos de WebRTC filtra la dirección interna a un igual”.
En otras palabras, lo que esto significa es que un ciberdelincuente podría, en teoría, atraerlo a algún tipo de URL relacionada con audio o video, una sesión de chat o similar, y engañar a tu navegador para que revele información sobre lo que está almacenado en la memoria.
Diseño de memoria considerado confidencial
Como hemos explicado anteriormente, la mayoría de los ataques de ejecución remota de código (RCE), donde los delincuentes engañan a tu navegador para que trate los datos como código y los ejecute, evitando cualquier verificación de seguridad o advertencia emergente, depende de que el atacante pueda adivinar dónde “aterrice” en la memoria de tu ordenador.
De lo contrario, el exploit normalmente bloqueará el navegador por completo en lugar de derribarlo de la manera controlada necesaria para hacerse cargo del flujo de ejecución.
En la actualidad, la mayoría de los sistemas operativos dificultan deliberadamente este tipo de “aterrizaje suave” a través del recurso bastante simple de aleatorizar las ubicaciones de memoria utilizadas cada vez que un programa se ejecuta por primera vez, una técnica conocida por el nombre autoexplicativo de ASLR , abreviatura de asignación de espacio de direcciones al azar.
Como resultado de esta aleatorización, es poco probable que los delincuentes que descubren un exploit que funciona perfectamente en su propio sistema lo hagan funcionar correctamente en otro ordenador a menos que los delincuentes puedan obtener una segunda vulnerabilidad que filtre información sobre la ubicación elegida del navegador en la memoria, convirtiendo así una posición aleatoria que solo puede adivinarse en una conocida que puede usarse con certeza.
Desafortunadamente, parece que el sistema WebRTC de Firefox, utilizado para el chat de audio y video en tiempo real a través de navegadores, utilizaba direcciones de memoria como identificadores históricos únicos para las sesiones de WebRTC, en lugar de solo elegir números aleatorios.
Después de todo, dos bloques diferentes de memoria asignados para sesiones que ocurren al mismo tiempo no pueden estar en la misma dirección, por lo que las direcciones de memoria a menudo son identificadores únicos útiles, pero eso es un poco como usar su número de la seguridad social cuando un sitio web le pregunta elegir un nombre de usuario que debe ser neutro.
Los números de la seguridad social son excelentes identificadores únicos, de hecho, ese es básicamente su trabajo, pero también se supone que deben mantenerse confidenciales.
En resumen, los errores de fuga de direcciones de memoria a menudo no se consideran vulnerabilidades críticas por sí solos, pero en un exploit combinado astutamente desplegado, podrían ser justo lo que un delincuente necesita para convertir otro agujero teórico de RCE en un ataque que funcione.
Una cosa más
Otro error que llamó nuestra atención, a pesar de que solo obtuvo una calificación baja codificada en gris, fue CVE-2020-15658, descrito como “Reemplazar el tipo de archivo al guardar en disco”.
Al ofrecer una descarga con caracteres extraños en el nombre del archivo, un atacante podría engañarlo para que apruebe una descarga que se parece a un tipo de archivo y se le muestra de esa manera, pero en realidad se guarda en el disco como algo muy diferente.
Los detalles sobre la naturaleza de este error en particular son escasos, pero podemos imaginar cómo los delincuentes podrían explotar un error que ofrece un archivo de imagen con un nombre de descarga que suena seguro, como EJEMPLO.EXE[COSAS EXTRAÑAS]IMAGEN.JPG, solo para terminar enviándote EJEMPLO.EXE, un archivo que nunca hubieras aceptado descargar en tu ordenador.
¿Qué hacer?
Como de costumbre, haz clic en el icono de la hamburguesa (tres líneas horizontales) en la parte superior derecha de la ventana de Firefox, luego Ayuda > Acerca de Firefox para verificar que estás usando la versión 79.0 y descargarla si fuera necesario.
Si está utilizando la versión de soporte extendido (ESR), tu actualización debería ser 78.1.0esr (versión más reciente de ESR) o 68.11.0esr.
Recuerda que los dos números más a la izquierda en la versión ESR sumados (78 + 1 o 68 + 11 en este caso) deben ser igual que el número más a la izquierda del punto en la versión regular (79 en este caso).
Albert
Firefox es un buscador que nunca me terminó de convencer. Me quedo con chrome