Firefox 111 parchea 11 vulnerabilidades, pero ningún día cero entre ellos

¿Has oído hablar del críquet?

Es un deporte que se parece mucho al béisbol, excepto en que los bateadores pueden golpear la pelota donde quieran, incluso hacia atrás o hacia los lados; los lanzadores pueden golpear al bateador con la pelota a propósito (dentro de ciertos límites de seguridad, por supuesto; de lo contrario, no sería críquet) sin que se inicie una pelea de 20 minutos entre todos; casi siempre hay un descanso a media tarde para tomar el té y comer tarta; y puedes marcar seis carreras a la vez siempre que golpees la pelota lo suficientemente alto y lejos (siete si el lanzador también comete un error).

Pues bien, como bien saben los aficionados al críquet, 111 carreras es una puntuación supersticiosa, considerada poco propicia por muchos. Se conoce como Nelson, aunque en realidad nadie parece saber por qué. Por tanto, se acaba de lanzar la Nelson de Firefox, con la versión 111.0, pero no parece que haya nada malo en ella.

Once parches individuales y dos lotes de parches

Como es habitual, hay numerosos parches de seguridad en la actualización, incluidos los habituales números de vulnerabilidad combo-CVE de Mozilla para fallos potencialmente explotables que se encontraron automáticamente y se parchearon sin esperar a ver si era posible un exploit de prueba de concepto (PoC):

• CVE-2023-28176: fallos de seguridad de memoria corregidos en Firefox 111 y Firefox ESR 102.9. Estos errores se compartieron entre la versión actual (que incluye nuevas funciones) y la versión ESR, abreviatura de extended support release (versión de soporte ampliado) (correcciones de seguridad aplicadas, pero con las nuevas funciones congeladas desde la versión 102, hace nueve versiones).
• CVE-2023-28177: errores de seguridad de memoria corregidos solo en Firefox 111. Es casi seguro que estos fallos solo existen en el nuevo código que incorporó nuevas funciones, dado que no aparecían en la base de código ESR anterior.

Estas bolsas de fallos se han calificado como Altas en lugar de Críticas.

Mozilla admite que “suponemos que con suficiente esfuerzo algunas de ellas podrían haberse explotado para ejecutar código arbitrario”, pero nadie ha descubierto aún cómo hacerlo, ni siquiera si tales explotaciones son factibles.

Ninguno de los otros once fallos numerados CVE de este mes tenían una calificación peor que alta; tres de ellos se aplican solo a Firefox para Android; y nadie ha presentado todavía (que sepamos) un exploit PoC que demuestre cómo abusar de ellos en la vida real.

Entre las 11 vulnerabilidades aparecen dos muy  interesantes, a saber:

• CVE-2023-28161: los permisos concedidos una sola vez a un archivo local se extendían a otros archivos locales cargados en la misma pestaña. Con este fallo, si abrías un archivo local (como un contenido HTML descargado) que quería acceder, por ejemplo, a tu webcam, cualquier otro archivo local que abrieras después heredaría mágicamente ese permiso de acceso sin preguntarte. Como señaló Mozilla, esto podría acarrear problemas si estuvieras mirando una colección de elementos en tu directorio de descargas: las advertencias de permiso de acceso que verías dependerían del orden en que abrieras los archivos.
• CVE-2023-28163: el diálogo Guardar como de Windows resolvía las variables de entorno. Este es otro buen recordatorio para sanear tus entradas, como nos gusta decir. En los comandos de Windows, algunas secuencias de caracteres reciben un tratamiento especial, como %USERNAME%, que se convierte en el nombre del usuario conectado en ese momento, o %PUBLIC%, que denota un directorio compartido, normalmente en C:\Usuarios. Un sitio web astuto podría utilizar esto como una forma de engañarte para que veas y apruebes la descarga de un nombre de archivo que parece inofensivo, pero que cae en un directorio que no esperarías (y donde más tarde podrías no darte cuenta de que ha ido a parar).

¿Qué hacer?

La mayoría de los usuarios de Firefox recibirán la actualización automáticamente. Normalmente tras un retraso aleatorio para evitar que todos los ordenadores la descarguen al mismo tiempo, pero puedes evitar la espera utilizando manualmente Ayuda > Acerca de (o Firefox > Acerca de Firefox en un Mac) en un portátil, o forzando una actualización de App Store o Google Play en un dispositivo móvil.

(Si eres usuario de Linux y Firefox lo suministra el fabricante de tu distribución, haz una actualización del sistema para comprobar la disponibilidad de la nueva versión).