Firefox para Android obtiene una actualización crítica que soluciona una vulnerabilidad UXSS

ActualidadActualizacionFirefoxXSS

Por lo general, cuando aparecen actualizaciones del navegador, es obvio qué hacer si utilizas ese navegador en tu ordenador.

Pero a menudo los lectores nos preguntan (preguntas que no siempre podemos responder) sobre qué hacer si están usando ese navegador en su teléfono móvil, donde la numeración de versiones suele ser desconcertante.

En el caso de la última actualización de Firefox, podemos responder al menos en parte esa pregunta para los usuarios de Android, porque la última versión del navegador de Mozilla, la 88.0.1, enumera solo un parche de seguridad considerado crítico, a saber, CVE-2021-29953:

Este problema solo afectó a Firefox para Android. Otros sistemas operativos no se ven afectados. Por el momento no estamos ofreciendo más detalles para que los usuarios tengan tiempo para actualizar.

Ese error es lo que se conoce como una vulnerabilidad de secuencia de comandos en sitios cruzados universal (UXSS), lo que significa que es una forma de que los atacantes accedan a datos privados del navegador desde el sitio web X mientras navegas en el sitio web malicioso Y.

Definitivamente eso no debe pasar.

Se supone que el navegador debe detener la “filtración” de datos tales como cookies entre sitios web, o de lo contrario el sitio Y podría echar un vistazo a datos como las credenciales de inicio de sesión del sitio X y abusar de esos datos específicos del sitio para hacerse pasar por ti en el sitio X y secuestrar tu cuenta.

Se supone que los navegadores deben cumplir la Política del Mismo Origen, o SOP, por la cual los datos web guardados localmente se bloquean para que solo puedan ser leídos por el mismo sitio web que los creó.

Esto ayuda a mantener la seguridad y la privacidad al evitar que los sitios web extraigan información sobre los usuarios de otras webs.

XSS malo, UXSS peor

Un truco que los delincuentes utilizan a menudo para violar el SOP es el Cross-site Scripting (XSS), que es el nombre que se le da a cualquier problema de privacidad basado en JavaScript que afecte a un sitio web específico.

Imagina, por ejemplo, que puedo engañar a un sitio web para que ejecute JavaScript de mi elección, por ejemplo, incrustando maliciosamente JavaScript en un enlace de búsqueda de tal manera que el servidor ejecute erróneamente mi JavaScript sin modificar en cualquier respuesta enviada a aquellos que hagan clic en ese enlace.

Aunque es mi secuencia de comandos, procede del servidor, por lo que mi código pasa la prueba de la “misma política de origen”, lo que me da acceso a datos sobre los usuarios que no debería poder ver.

Eso es un XSS.

Pero UXSS es el nombre que se le da a una vulnerabilidad de secuencia de comandos entre sitios que es causada por un error dentro del navegador, no simplemente por un error en un sitio web específico.

En términos generales, un UXSS es un riesgo XSS que se aplica en cualquier lugar y en cualquier momento que se navegue, normalmente incluso cuando visitas servidores web bien protegidos que son seguros contra ataques XSS específicos del sitio.

Así que esta es definitivamente una actualización que debes instalar si usas Firefox en Android.

Si vas en tu coche y uno de los muchos conductores con los que te encuentras es descuidado y podría provocar un accidente, eso es un poco como el riesgo de XSS. Siempre puedes estar atento y hacer todo lo posible para evitar a los descuidados. Pero si tú mismo eres ese conductor descuidado… ese es el riesgo que representa UXSS, porque te acompaña a todas partes.

¿Qué hacer?

A pesar de saber con certeza que lo que necesitas es la versión 88.0.1, todavía no estamos seguros de cómo comprobar que estás actualizado.

Por ejemplo, Google Play ofrece actualmente la versión 88.1.3, que, según afirma, se actualizó el 5 de mayo de 2021.

Eso suena “mejor” que 88.0.1, pero dado que no hay una versión 88.1 para nuestros ordenadores, no está claro si 88.1.3 incluye la corrección 88.0.1 o no.

Peor aún, cuando hicimos clic en el enlace  [Full Release Notes] directamente debajo del número de versión 88.1.3, terminamos en la página de Firefox 88.0, con una fecha de lanzamiento del 19 de abril de 2020, que es el mismo día que 88.0 ( ¡definitivamente no 88.0.1!) también salió para plataformas no móviles.

Todo lo que podemos decir es: “Obtén la actualización de Google Play si puedes, pero asegúrate de revisarla regularmente por si acaso”.

Y a todos los fabricantes de navegadores que existen, nos gustaría preguntar: “Por favor, ¿nos podríais hacer coincidir los números de versión del navegador en nuestros teléfonos móviles con las notas de la versión en las que confiamos para nuestros ordenadores?”

Por cierto, 88.0.1 no es solo para Android, también debes actualizar si estás usando otros sistemas operativos.

La versión 88.0.1 incluye un segundo parche de seguridad, denominado CVE-20210-29952 y calificado como Alto, que corrige un error que nadie ha descubierto todavía cómo explotar, pero que alguien aún podría descubrir cómo “armarse” para implantar malware.

Leave a Reply

Your email address will not be published.