Acaba de salir la última actualización mensual de Firefox, que eleva la versión principal del popular navegador alternativo a 115.0. Técnicamente se trata de una actualización cada cuatro semanas, por lo que a veces habrá dos actualizaciones importantes en un mismo mes natural, igual que a veces hay dos lunas llenas en un mes, pero este mes solo hay una.
A finales del mes que viene, agosto de 2023, habrá tanto una luna azul, que es el término utilizado para la segunda luna llena en un mismo mes, como lo que llamaremos por analogía un Firefox azul, con Firefox 116 llegando el 1 de agosto de 2023 y Firefox 117 cuatro semanas después, el 29 de agosto de 2023.
Alerta temprana para los usuarios de sistemas operativos antiguos
El titular de la propia Mozilla para la versión 115 es:
En enero de 2023, Microsoft finalizó el soporte para Windows 7 y Windows 8. Como consecuencia, esta es la última versión de Firefox que recibirán los usuarios de esos sistemas operativos. […]
Del mismo modo, esta es la última versión principal de Firefox que será compatible con macOS 10.12, 10.13 y 10.14 de Apple.
A partir del mes que viene, si estás atascado con ordenadores que solo pueden ejecutar versiones antiguas y no compatibles de Windows y macOS, pasarás automáticamente a la versión Firefox ESR.
ESR es la abreviatura de Extended Support Release, una versión especial de Firefox que recibe actualizaciones de seguridad pero no actualizaciones de funciones.
Desgraciadamente, cada cierto tiempo la ESR absorbe todas las actualizaciones de características que se han aplazado desde la última vez que la ESR “se puso al día”, tras lo cual pasa un año más o menos recibiendo de nuevo sólo actualizaciones de seguridad.
En otras palabras, las versiones ESR duran poco más de un año antes de que se “vuelvan a basar” en una versión principal reciente, con todas las nuevas funciones del periodo intermedio añadidas y todas las funciones eliminadas.
A finales de 2023, por ejemplo, la versión ESR estará en 115.6, lo que significa que será la versión de este mes en cuanto a características, junto con todos los parches de seguridad que han salido desde entonces.
Pero en septiembre de 2024 saldrá la última versión ESR basada en la versión mayor 115, es decir ESR 115.15, después de lo cual la versión ESR más antigua soportada se basará en el código de la versión principal 116 del mes que viene, que ya no funcionará en tus dispositivos Windows y Mac más antiguos.
En resumen, Windows 7, Windows 8 y las versiones de macOS anteriores a Catalina (10.15) no recibirán actualizaciones de Firefox en absoluto después de septiembre de 2024, porque incluso la versión ESR dejará de ser compatible con esas plataformas.
Si no puedes actualizar tu ordenador para entonces, te recomendamos encarecidamente que cambies a un sistema operativo alternativo que sea compatible con tu hardware, como Linux, para que no solo puedas obtener actualizaciones del sistema, sino también ejecutar un navegador actualizado.
Parches de este mes
Afortunadamente, ninguno de los parches de seguridad de este mes es un día cero, lo que significa que todas las correcciones incluidas son para fallos que fueron revelados responsablemente por investigadores externos, o descubiertos por los propios equipos de seguridad y desarrollo de Mozilla.
Hay cuatro correcciones de errores con numeración CVE calificadas como “Alta”, a saber:
- CVE-2023-37201: use-after-free en la generación de certificados WebRTC. Irónicamente, esto significa que un posible fallo de ejecución remota de código (por el que un atacante consigue implantar código en tu ordenador sin previo aviso) podría activarse durante la misma parte de una llamada de audio o vídeo que se supone que establece un canal cifrado seguro de extremo a extremo a través de HTTPS.
- CVE-2023-37202: posible use-after-free por desajuste de compartimentos en SpiderMonkey. SpiderMonkey es el componente de software de Mozilla responsable de manejar el código JavaScript. Se supone que ejecutar código JavaScript suministrado externamente es “mayormente inofensivo”, porque los motores JavaScript de los navegadores limitan deliberadamente el daño que puede hacer el código JavaScript remoto. A menos, claro está, que el propio motor JavaScript contenga un fallo explotable, que permita lo que en la jerga se conoce como escape de seguridad o escape de sandbox.
- CVE-2023-37211: fallos de seguridad de memoria corregidos en Firefox 115, Firefox ESR 102.13 y Thunderbird 102.13. Como de costumbre, Mozilla es lo bastante inocente como para admitir, incluso en el caso de los fallos detectados automáticamente que al final podrían resultar no ser peligrosos: “Suponemos que con suficiente esfuerzo algunos de ellos podrían haber sido explotados para ejecutar código arbitrario”.
- CVE-2023-37212: fallos de seguridad de memoria corregidos en Firefox 115. Se trata de otro conjunto de posibles fallos de seguridad parcheados solo en la última versión principal, pero no en la actual versión ESR 102.13, presumiblemente porque estos fallos se introdujeron a través de nuevas funciones añadidas desde que salió la versión 102 el año pasado. La preocupación de que “nuevas funciones signifiquen nuevos fallos” es lo que lleva a algunos usuarios a ceñirse a las versiones ESR en primer lugar. (Ten en cuenta que puedes sumar los dos números de la versión ESR para saber cuánto has avanzado en términos de actualizaciones de seguridad).
Hay otros numerosos fallos de gravedad “Moderada” y “Baja”, de los cuales tres destacan como interesantes, al menos en nuestra opinión:
- CVE-2023-37204: ocultación de la notificación de pantalla completa mediante elemento de opción. Al parecer, una página web fraudulenta puede poner Firefox en modo de pantalla completa y, al mismo tiempo, iniciar un cálculo en segundo plano para consumir tanta potencia de procesamiento que no veas la advertencia del navegador sobre la ocupación de toda la pantalla. Ten en cuenta que un sitio web fraudulento puede pintar píxeles en cualquier lugar de la pantalla en el modo de pantalla completa, incluyendo la aparición de cuadros de diálogo del sistema operativo realistas pero falsos, o mostrar una barra de direcciones falsa con una URL falsa. Por ello, advertir antes de entrar en el modo de pantalla completa puede considerarse vital.
- CVE-2023-37207: ocultación de la notificación de pantalla completa. Este fallo es similar al anterior, aunque se desencadena no por consumir tiempo del procesador, sino por hacer referencia a un tipo de URL (por ejemplo, un enlace mailto://) que es manejado por un programa externo en lugar de por el propio navegador.
- CVE-2023-37205: suplantación de URL en la barra de direcciones utilizando caracteres de derecha a izquierda. No sabemos exactamente cómo funciona este fallo ni cómo podría explotarse, pero la descripción sugiere que mezclando caracteres árabes en una URL con otros latinos que especifican la parte del nombre del servidor, un atacante podría conseguir que un nombre de dominio malicioso en alfabeto latino se escribiera “al revés”. Así, un sitio que apareciera como, por ejemplo, moc.elpmaxe podría referirse en realidad al servidor de example.com. Con un nombre de servidor cuidadosamente elegido, un dominio desconocido y no fiable podría disfrazarse para parecerse a una marca conocida.
¿Qué hacer?
Abre la ventana Ayuda > Acerca de Firefox (o Firefox > Acerca de Firefox en macOS) para ver qué versión tienes actualmente, y para obtener la última versión si estás desactualizado.
Ten en cuenta que si llevas meses desactualizado, puede que no consigas la última versión de una sola vez, así que vuelve de nuevo al cuadro de diálogo Acerca de Firefox para comprobar que no hay “saltos” de actualización adicionales que tengas que completar.
Si Firefox es suministrado por tu distro Linux o BSD, comprueba con la propia distro la última versión.
Dejar un comentario