SophosLabs Uncut

Firefox llega a los 100*, corrige errores… pero no hay nuevos días cero este mes

Firefox ha seguido a Chromium en la marca del siglo, alcanzando una puntuación de 100* con su último lanzamiento programado.

Para los lectores que no vivan en un país donde se juegue al cricket, una puntuación individual de 100 en una sola entrada, conocida como un siglo o una tonelada, se considera un logro digno de mención.

Añadir un asterisco después de la puntuación significa “no out”, es decir, que el bateador sigue en activo (o ha completado su entrada sin salir), lo que hace que la hazaña sea aún más notable.

Sin problemas con los números de versión

A principios de este año, escribimos sobre la posible confusión que Chrome (ahora en 101) y Firefox (100 hoy) podrían causar a algunos usuarios, no por culpa de Google o Mozilla, los respectivos responsables de las bases de código de Chromium y Firefox, sino porque al menos algunos servidores web parecían incapaces de reconocer correctamente los números de versión de tres dígitos.

A los sitios web actuales, con cada vez más posibilidades de rastrear, les encanta mirar tus cabeceras HTTP para intentar averiguar qué navegador estás usando y en qué versión estás, por ejemplo, diseccionando la cabecera User-Agent para decidir qué tipo de contenido enviar de vuelta.

Después de la actualización, nuestra cadena de User-Agent de Firefox tiene ahora este aspecto:

GET / HTTP/1.1
Host: testsite.example
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:100.0) Gecko/20100101 Firefox/100.0
Accept-Encoding: gzip, deflate, br
Conexión: keep-alive
Upgrade-Insecure-Requests: 1
[. . . .]

En febrero de 2022, algunos sitios web convencionales no parecían darse cuenta de que el 100 era mayor que el 99, presumiblemente porque estaban programados para utilizar sólo los dos primeros (o últimos) caracteres del número de versión, al estilo del error del milenio, convirtiendo así el texto 100 en el número 10, o en el número cero.

Did we learn nothing from Y2K? Why are some coders still stuck on two digit numbers?

Afortunadamente, no hemos tenido ningún problema visible con Edge, que está basado en Chromium y que pasó de 99 a 100 a principios de abril (manteniéndose justo por delante de Firefox con 101 a principios de mayo), y en las pocas horas que hemos estado en Firefox 100.0, tampoco hemos tenido problemas.

Suponemos que, o bien los últimos sitios web mal codificados han corregido su código del lado del servidor en el ínterin, o bien las listas de “casos especiales” de sitios problemáticos creadas en los últimos meses por Google y Firefox han suprimido cualquier problema, por ejemplo, permitiendo a ambos navegadores fingir, según sea necesario, que todavía es la versión 99.

Corrección de errores en esta actualización

La buena noticia es que ninguno de los errores de seguridad parcheados en Firefox 100 (o su equivalente a largo plazo, la versión 91.9 ESR, que tiene el conjunto de características de Firefox 91 más otras 9 versiones de actualizaciones de vulnerabilidad para equipararlo a la 100) se considera “crítico”, y no hay ningún agujero de día cero en la lista.

No obstante, los parches abordan una interesante gama de problemas de seguridad, lo que nos recuerda lo mucho que confiamos en nuestros navegadores para hacer lo correcto en materia de ciberseguridad.

Las principales vulnerabilidades que se corrigenen esta actualización son las siguientes:

  • CVE-2022-29914. Evasión de notificaciones a pantalla completa mediante ventanas emergentes. Un atacante que conociera la vulnerabilidad podría hacer aparecer contenido engañoso o fraudulento que pareciera una notificación oficial presentada por el propio Firefox. Se supone que las ventanas emergentes y el contenido de la página deben ser fáciles de distinguir de la información procedente del navegador, por lo que no se permite que una página web coloque una imagen engañosa sobre la parte superior de la barra de direcciones que le indique en qué sitio web se encuentra, o que presente un diálogo que parezca una advertencia de seguridad oficial del navegador pero que cuente una historia engañosa.
  • CVE-2022-29916. Filtración del historial del navegador con variables CSS. Se supone que los sitios web no pueden recuperar una lista de otros sitios que has visitado sin tu permiso. Esto no sólo viola su privacidad, sino que también proporciona a los ciberdelincuentes información útil que podría ayudarles a la hora de atacarte a ti o a tu empresa en el futuro.
  • CVE-2022-29910. Firefox para Android olvidó la configuración de la seguridad de transporte estricta HTTP (HSTS). HSTS es una base de datos local mantenida por tu navegador que indica qué sitios web debe visitar utilizando HTTPS, incluso si haces clic en un enlace o escribes una URL que empiece por http://. Aunque la mayoría de los sitios web redirigen inmediatamente las conexiones HTTP a la página HTTPS correspondiente de todos modos, esa conexión HTTP inicial está abierta al secuestro porque no hay cifrado ni comprobación de la integridad de los datos de redirección que se envían de vuelta. Por lo tanto, HSTS limita tu exposición a tu primera visita a un sitio, cuando la configuración de HSTS se activa, lo que es mucho más seguro que tener que arriesgarse a la redirección insegura cada vez que se visita.
  • CVE-2022-29917 y -29918. Errores de seguridad de memoria corregidos en Firefox 100 y 91.9 ESR. Como es habitual, los codificadores de Mozilla admiten abiertamente que “suponemos que con suficiente esfuerzo algunos de estos [fallos] podrían ser explotados para ejecutar código arbitrario”. En otras palabras, vale la pena obtener esta actualización sólo por esta razón, dado que los exploits son mucho más fáciles de descubrir para los atacantes después de haber sido parcheados, porque los cambios en el código actúan esencialmente como pistas sobre dónde buscar, y qué buscar.

¿Qué hacer?

Utiliza Ayuda > Acerca de Firefox para forzar una comprobación manual de las actualizaciones.

Recuerda que incluso si tienes las actualizaciones automáticas activadas, vale la pena comprobar que has recibido correctamente la actualización, en lugar de simplemente asumir que ha funcionado.

Dejar un comentario

Your email address will not be published.