Mozilla ha tomado medidas rápidas y decisivas para abordar una vulnerabilidad crítica en su navegador Firefox, que está siendo explotada activamente en ataques cibernéticos. La vulnerabilidad, identificada como CVE-2024-9680, fue descubierta por el investigador de ESET Damien Schaeffer y se clasifica como un «uso después de la liberación» en las líneas de tiempo de animación de Firefox.
Qué es un Uso Después de la Liberación
Un uso después de la liberación es un tipo de falla de seguridad que ocurre cuando un programa continúa utilizando memoria que ha sido liberada. Esto permite que los atacantes inserten datos maliciosos en la memoria y ejecuten código no autorizado. En este caso, la vulnerabilidad se encuentra en la API de animaciones web de Firefox, que controla la sincronización de animaciones en las páginas web.
Según el boletín de seguridad emitido por Mozilla, “un atacante pudo lograr la ejecución de código en el proceso de contenido explotando un uso después de la liberación en las líneas de tiempo de animación”. Esta situación se agrava por el hecho de que se han recibido informes de que la vulnerabilidad está siendo utilizada activamente por actores maliciosos.
Versión Afectada y Actualizaciones Disponibles
La vulnerabilidad afecta tanto a la última versión estándar de Firefox como a las versiones de soporte extendido (ESR). Mozilla ha lanzado correcciones para las siguientes versiones, a las que se recomienda encarecidamente que los usuarios actualicen de inmediato:
- Firefox 131.0.2
- Firefox ESR 115.16.1
- Firefox ESR 128.3.1
Dada la naturaleza de la explotación activa de CVE-2024-9680, y la falta de información sobre cómo se están llevando a cabo los ataques, es esencial que los usuarios actualicen sus navegadores lo antes posible.
Cómo Actualizar Firefox
Para actualizar a la última versión de Firefox, los usuarios deben seguir estos pasos:
- Iniciar Firefox.
- Ir a Configuración.
- Seleccionar Ayuda.
- Hacer clic en Acerca de Firefox.
La actualización debería iniciarse automáticamente, aunque será necesario reiniciar el navegador para que se apliquen los cambios.
Contexto de Vulnerabilidades en 2024
A lo largo de 2024, Mozilla ha tenido que enfrentar problemas similares, corrigiendo vulnerabilidades de día cero en su navegador en al menos una ocasión anterior. En marzo, la empresa lanzó actualizaciones para abordar otras vulnerabilidades críticas (CVE-2024-29943 y CVE-2024-29944) que fueron descubiertas durante la competencia de piratería Pwn2Own Vancouver 2024.
Conclusión
La seguridad en la navegación web es más crucial que nunca, y la rápida respuesta de Mozilla a estas vulnerabilidades subraya la importancia de mantener actualizado el software para protegerse contra amenazas cibernéticas. Los usuarios de Firefox deben estar atentos a las actualizaciones y actuar rápidamente para garantizar la seguridad de sus datos y dispositivos.