Portada
Hace 4 años | Por ricvalle a genbeta.com
Publicado hace 4 años por ricvalle a genbeta.com

Mozilla acaba de parchear Firefox por una vulnerabilidad grave y Seguridad Nacional de EEUU pide actualizar

 genbeta.com

Mozilla ha lanzado en las últimas horas una actualización para parchear una vulnerabilidad crítica encontrada en Firefox. Resulta absolutamente recomendable actualizar cuanto antes mejor nuestras instalaciones de este navegador. "Ataques selectivos" se están produciendo aprovechando este exploit de día cero. Los potenciales peligros de este problema de seguridad de Firefox han llevado también al Departamento de Seguridad Nacional de los Estados Unidos a instar a los usuarios del navegador de Mozilla a actualizar la última versión.

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 1.8k 44

Comentarios

ur_quan_master

Traducción: la NSA ha obligado a instalar malvare en Firefox.

V 21
K 99
x

#1 ¿Ya has encontrado en qué parte del código fuente que es público está el malware?

V 26
K 217
m

#2 Uy que cosas pides...Veras que rápido prueba su afirmación.

V 9
K 69
ur_quan_master

#2 todo hijo de vecino tira de binarios así que me voy a poner el gorrito. tinfoil

V 5
K 57
anv

#16 Una cosa es que todos instalen binarios pero el código fuente esté disponible para que algunos lo miren, y otra muy distinta es que sólo haya binarios y el fuente sea secreto.

V 0
K 7
ur_quan_master

#32 ¿ Tu conoces a alguno de esos "algunos"? ¿ Sabes si lo que te estás bajando corresponde exactamente a la compilación de esos fuentes?

Soy usuario de Mozilla desde que desapareció Netscape, Pero ignorar que en cualquier momento te la pueden liar no te ayuda precisamente.

V 0
K 10
anv

#35 Pues... si usas Linux puedes estar bastante seguro de que el firefox que usas correspondiente con el código fuente del repositorio.
A no ser, claro, que creas que los mantenedores de los paquetes están confabulados para engañarte.

Sobre auditar código... Algunas veces he echado alguna mirada por curiosidad aunque no se puede decir que eso sea auditar. Pero ya sabes lo que dice la Ley de Linus.

V 0
K 7
hasta_los_cojones

#2 si lo hubiere estaría en el DRM, cuyo código no es público

V 0
K 8
D

#1 "Los responsables de Mozilla han dado cuenta de los preocupantes problemas encontrados por la firma de ciberseguridad china Qihoo 360"

V 3
K 37
Cehona
editado

#5 "encontrados por la firma de ciberseguridad china Qihoo 360"
lol lol lol
La misma firma que instala adware en móviles Samsung wall
https://www.neowin.net/news/samsung-devices-come-with-a-feature-sourced-from-shady-chinese-company

V 5
K 46
D

#12 "Se sabe que Qihoo 360 entrega los datos de los clientes al gobierno chino cuando se lo solicitan"

Esa y todas. Y las americanas también (pero a su gobierno claro...).

V 1
K 21
D

#12 Todas lo hacen si no es al Chino es al Yanqui al de Uk o Alemania y si no a otro cualquiera.

V 0
K 7
joffer

#1 que tontería más tonta y comentario tragakarma

V 0
K 9
F

Me llamo la atención lo del departamento de seguridad, así que entre en su pagina. Parece bastante normal que hagan este tipo de recomendaciones. Por ejemplo, aquí hay una del mismo día en la que recomiendan a todos los usuarios de Chrome actualizar su navegador:

https://www.us-cert.gov/ncas/current-activity/2020/01/08/google-releases-security-updates-chrome

V 7
K 61
Walldrop
editado

#7 firefox lleva una temporada de buenas noticias suena a goebbelismo por parte de la competencia armar la noticia de esta forma (pero es que tb tengo un poco de sesgo conspira pide)

V 0
K 9
opechancano
editado

Lo de cada día pero esta vez a alguien le habrá parecido alarma y se está viralizando...

V 4
K 47
M

#8 no, no salen todos los dias vulnerabilidades graves como esta y que estan siendo explotadas.

V 0
K 10
opechancano

#9 es que estoy suscrito y lo veo...

V 2
K 28
M

#17 ¿cuántas vulnerabilidades críticas que estuviesen siendo explotadas tuvo firefox en el último año? debo estar mirando yo mal.

V 0
K 10
opechancano
editado

#42
Centro de avisos de Mozilla: https://www.mozilla.org/en-US/security/advisories/ >>> puedes ver cuantas veces sale el color critical.

Búsqueda sobre las notificaciones de La Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA): https://search.us-cert.gov/search?utf8=%E2%9C%93&affiliate=us-cert&query=mozilla+security >>>> puedes leer que cada aviso con independencia del asunto es idéntico cuando se trata de un "Mozilla has released security updates to address vulnerabilities in Firefox and Firefox ESR. An attacker could exploit some of these vulnerabilities to take control of an affected system." o similar, de hecho si te suscribes por email los asuntos son idénticos "Mozilla Releases Security Updates for Firefox..."

Si es porque se considere "0-day" solo hay que buscar por fecha en Google, ej. en junio 2 en una semana https://unaaldia.hispasec.com/2019/06/mozilla-parchea-un-segundo-0-day-en-una-semana.html

Yo no digo que no sea suficiente relevante para ponerla en Meneame, digo que si debemos seguir el mismo criterio podemos poner alguna casi cada mes un par de veces, y no solo para Mozilla, también para Microsoft, WordPress, Google, Apple, Intel, Adobe, Samba VMWare, Cisco, Juniper, etc. Vamos... Convertir Meneame en un feed de notificaciones de seguridad de software.

La única diferencia esta vez es que alguien la ha considerado grave por esa referencia al centro Nacional de Seguridad de los grandes EEUU... pero vamos que el Departamento de Seguridad Nacional de los Estados Unidos insta todos los días a actualizar algo... y esa referencia no es más que de su feed, no es que haya comparecido Trump con el general de la Sexta Flota.

V 0
K 9
M

#43 Parece que hemos mirado en el mismo sitio pero con distinta conclusión. ¿cuántas veces sale el color critical? Unas veinte veces desde 2019 hasta hoy pero cuántas veces sale el color crítical con el aviso de que está siendo explotado? Yo he contado dos, una que es este meneo y otra creo que en Junio o julio. Dos veces en más de un año yo no lo llamaría salir todos los días.

La que tú me comentas creo que es esta: https://www.mozilla.org/en-US/security/advisories/mfsa2019-19/
No es crítica sino "solo" alta y no tiene el aviso de Mozilla de "We are aware of targeted attacks in the wild abusing this flaw." como tiene la de este meneo.

Por tanto, yo considero que la vulnerabilidad de este meneo es un poco más grave de lo normal. Quizás la noticia esté exagerada pero no tanto como decir que esto es el pan de cada día.

Hay vulnerabilidades en otros productos pero los navegadores son especialmente sensibles dado que están completamente expuestos a Internet. Tú navegas por todo tipo de páginas y una de ellas podría explotar una vulnerabilidad del navegador. Habría que saber cuántos 0-day críticos salen para Chrome, dado que tiene más cuota.

V 1
K 19
thoro
editado

Que se lo digan a la Fábrica Nacional de Moneda y Timbre de España.
Una entidad que se dedica a expedir certificados digitales que no ha conseguido que los navegadores la acepten como fiable. Y es el único medio para que las empresas reciban notificaciones de seguridad social, hacienda, etc...
Y hay que toquetear todos los ajustes de seguridad para que pueda funcionar a su gusto.
https://www.sede.fnmt.gob.es/certificados/persona-fisica/obtener-certificado-software/consideraciones-previas

Y además ya no soporta firefox 69 o superiores y te da instrucciones de cómo instalar una versión insegura y antigua.

V 4
K 43
pilarina

#21 Es penoso

V 1
K 13
avalancha971

#21 Venía precisamente a comentar eso, que mientras tanto los certificados digitales españoles sólo funcionan con Firefox 68.

Muy seguro todo.

V 1
K 10
Molari

#24 Yo uso mis certificados de la FMNT con normalidad y tengo la versión 72.0.1

V 0
K 7
TyrionGal
editado

#30 #21 #24 ?? Con mucha normalidad no los usarás cuando es la propia administración la que dice que solo se pueden utilizar con una versión antigua. Lo tuyo es una excepción, pero lo normal es que no funcione.

Lo de los certificados en España es una vergüenza. Y lo que me sorprende más es que no haya más artículos periodísticos denunciando esto.

V 1
K 12
Molari

#31 Yo lo uso con normalidad. Pero vaya que estoy deacuerdo en que esa recomendación de la administración está fuera de lugar, mas bien deberían los informáticos de la FNMT ponerse las pilas para que funcione el certificado en todas las versiones de FireFox

V 0
K 7
thoro
editado

#30 Puedes usarlos, si. Pero no puedes descargar un certificado nuevo.
Caducan a los 4 años.
Además que los propios navegadores marcan webs del ministerio como inseguras.

V 1
K 17
D

#30 Porque ya estaban instalados, si los intentas instalar nuevos, nones

V 1
K 14
crafton

Nos acercamos cada vez más a un futuro cyberpunk. Imaginaros titulares como:

- Seguridad Nacional de EEUU pide actualizar el firmware de los Teslas.

O cualquier otro cacharro que hayamos normalizado en nuestras vidas y sea esencial: smartphones, facebook portal, amazon echo.. usad vuestra imaginación.

V 4
K 35
P

#15

V 0
K 6
D
editado

#15 "usad vuestra imaginación. "

"Seguridad Nacional de EEUU pide actualizar el firmware de tu marcapasos."

V 0
K 9
AsVHEn

#15 Más normalizado que el PC con Firefox abierto no tengo nada en mi vida .

V 1
K 18
Tintxotintxo

Pues yo intento actualizar y me dice que ya está actualizado. Versión 72.0.1 OSX

V 2
K 32
D

#4 el OSX es relevante? lol

V 2
K 31
Xtampa2
editado

#4 Porque esa es la última ya parcheada.

#11 A ver si ya lo tienes actualizado.

#6 Podría ser que la numeración de versiones fuera diferente según la plataforma

V 1
K 12
D

#33 en android me sale la 68.4.1 actualizada ayer desde la play store.
no se da mucho detalle en la versión, asi que imagino que debe ser la versión ESR o hay varias versiones según la plataforma como dice #13

V 0
K 9
Tintxotintxo

#6 supongo que no

V 1
K 17
Cehona

#4 #11 La que hay que tener instalada es la versión 72.0.1 (última)
Podeis comprobarlo en el canal release
https://download.cdn.mozilla.net/pub/firefox/releases/
https://www.mozilla.org/es-ES/plugincheck/

V 7
K 82
thingoldedoriath

#14 el mío se actualizó esta tarde. Alguna ventaja tienen las "Arch"

V 1
K 21
D
editado

#4 Yo también tengo la misma 72.0.1 de 64 bits en Windows y esta actualizado según me pone.

V 1
K 18
D

Cierran una puerta que seguro se ha filtrado a gente que no le interasaba a la NSA y ya tendrán otra, no se le pueden poner puertas al campo ni a la NSA

V 1
K 18
Candidatas
30
meneos
tecnología Un ciberataque deja al descubierto los datos personales de miles de guardias civiles y militares
12
meneos
tecnología El ex presidente de Blizzard propone dejar una propina de 10 o 20 dólares a los desarrolladores por sus juegos
10
meneos
tecnología Una capa de oro de un solo átomo: los investigadores de LiU crean goldene (eng)
9
meneos
tecnología Microsoft levanta un bloqueo de dos años que impedía a estos usuarios de Windows 10 actualizarse a Windows 11
23
meneos
tecnología Crisis en el videojuego: más de 8.000 profesionales han perdido su puesto de trabajo en lo que llevamos de 2024
16
meneos
tecnología 'Game Over': la industria de los videojuegos se estanca tras el boom de la pandemia
20
meneos
tecnología Alguien está haciendo una IA que te podrás follar
22
meneos
tecnología España será la encargada de formar a todas las startups de ciberseguridad de la OTAN
7
meneos
tecnología Elon Musk comenzará a cobrar a todos los nuevos usuarios de X, antes Twitter, por publicar en la red social
9
meneos
tecnología Ver contenido erótico con 15 años en TikTok: vídeos permitidos por la plataforma que dirigen a webs porno
9
meneos
tecnología Linus Torvalds inyecta tabuladores para evitar que los analizadores Kconfig las manejen incorrectamente (ENG)
7
meneos
tecnología 15 gráficos que exponen el estado de la IA en 2024 [ENG]
6
meneos
tecnología Es la hora de ‘AIbus’: por qué Europa debe crear una gran empresa de AI
8
meneos
tecnología Space Solar ha desarrollado el primer sistema de transmisión de energía inalámbrica de 360º del mundo
12
meneos
tecnología OpenAI y Meta afirman tener listos modelos de IA capaces de "razonar"
6
meneos
tecnología Cómo vencer a los ordenadores cuánticos
11
meneos
tecnología Yolanda Morató: «El uso amateur de un traductor automático no puede sustituir un trabajo profesional, igual que buscar tus síntomas en Google jamás podrá suplir la consulta con un especialista»
7
meneos
tecnología Lockheed Martin presenta el nuevo misil hipersónico Mako, que puede ser transportado internamente por el F-35
6
meneos
tecnología Sierra Space quiere entregar suministros bélicos desde el espacio
mosisom

No se me actualiza y me estoy poniendo nervioso.

V 0
K 11
D

Espero que saquen parche para la versión compatible con plugins, la 56

V 0
K 6