EDICIóN GENERAL
273 meneos
1804 clics

Mozilla acaba de parchear Firefox por una vulnerabilidad grave y Seguridad Nacional de EEUU pide actualizar

Mozilla ha lanzado en las últimas horas una actualización para parchear una vulnerabilidad crítica encontrada en Firefox. Resulta absolutamente recomendable actualizar cuanto antes mejor nuestras instalaciones de este navegador. "Ataques selectivos" se están produciendo aprovechando este exploit de día cero. Los potenciales peligros de este problema de seguridad de Firefox han llevado también al Departamento de Seguridad Nacional de los Estados Unidos a instar a los usuarios del navegador de Mozilla a actualizar la última versión.

| etiquetas: mozilla , firefox , vulnerabilidad , día cero , zero day , seguridad nacional
Traducción: la NSA ha obligado a instalar malvare en Firefox. :-/
#1 ¿Ya has encontrado en qué parte del código fuente que es público está el malware?
#2 Uy que cosas pides...Veras que rápido prueba su afirmación.
#2 todo hijo de vecino tira de binarios así que me voy a poner el gorrito. :tinfoil:
#16 Una cosa es que todos instalen binarios pero el código fuente esté disponible para que algunos lo miren, y otra muy distinta es que sólo haya binarios y el fuente sea secreto.
#32 ¿ Tu conoces a alguno de esos "algunos"? ¿ Sabes si lo que te estás bajando corresponde exactamente a la compilación de esos fuentes?

Soy usuario de Mozilla desde que desapareció Netscape, Pero ignorar que en cualquier momento te la pueden liar no te ayuda precisamente.
#35 Pues... si usas Linux puedes estar bastante seguro de que el firefox que usas correspondiente con el código fuente del repositorio.
A no ser, claro, que creas que los mantenedores de los paquetes están confabulados para engañarte.

Sobre auditar código... Algunas veces he echado alguna mirada por curiosidad aunque no se puede decir que eso sea auditar. Pero ya sabes lo que dice la Ley de Linus.
#2 si lo hubiere estaría en el DRM, cuyo código no es público
#1 "Los responsables de Mozilla han dado cuenta de los preocupantes problemas encontrados por la firma de ciberseguridad china Qihoo 360"
#5 "encontrados por la firma de ciberseguridad china Qihoo 360"
xD xD xD
La misma firma que instala adware en móviles Samsung :wall:
www.neowin.net/news/samsung-devices-come-with-a-feature-sourced-from-s
La compañía china se ha ganado una mala reputación por crear aplicaciones súper sombrías que roban datos de los usuarios y engañan a los usuarios de Android sin saberlo para que instalen adware en sus dispositivos. Se sabe que Qihoo 360 entrega los datos de los clientes al gobierno chino cuando se lo solicitan, y sus aplicaciones para PC también se han analizado ampliamente.
#12 "Se sabe que Qihoo 360 entrega los datos de los clientes al gobierno chino cuando se lo solicitan"

Esa y todas. Y las americanas también (pero a su gobierno claro...).
#12 Todas lo hacen si no es al Chino es al Yanqui al de Uk o Alemania y si no a otro cualquiera. <:(
#1 que tontería más tonta y comentario tragakarma
Me llamo la atención lo del departamento de seguridad, así que entre en su pagina. Parece bastante normal que hagan este tipo de recomendaciones. Por ejemplo, aquí hay una del mismo día en la que recomiendan a todos los usuarios de Chrome actualizar su navegador:

www.us-cert.gov/ncas/current-activity/2020/01/08/google-releases-secur
#7 firefox lleva una temporada de buenas noticias suena a goebbelismo por parte de la competencia armar la noticia de esta forma (pero es que tb tengo un poco de sesgo conspira pide)
Lo de cada día pero esta vez a alguien le habrá parecido alarma y se está viralizando...
#8 no, no salen todos los dias vulnerabilidades graves como esta y que estan siendo explotadas.
#9 es que estoy suscrito y lo veo...
#17 ¿cuántas vulnerabilidades críticas que estuviesen siendo explotadas tuvo firefox en el último año? debo estar mirando yo mal.
#42
Centro de avisos de Mozilla: www.mozilla.org/en-US/security/advisories/ >>> puedes ver cuantas veces sale el color critical.

Búsqueda sobre las notificaciones de La Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA): search.us-cert.gov/search?utf8=✓&affiliate=us-cert&query=moz >>>> puedes leer que cada aviso con independencia del asunto es idéntico cuando se trata de un "Mozilla has released security…   » ver todo el comentario
#43 Parece que hemos mirado en el mismo sitio pero con distinta conclusión. ¿cuántas veces sale el color critical? Unas veinte veces desde 2019 hasta hoy pero cuántas veces sale el color crítical con el aviso de que está siendo explotado? Yo he contado dos, una que es este meneo y otra creo que en Junio o julio. Dos veces en más de un año yo no lo llamaría salir todos los días.

La que tú me comentas creo que es esta: www.mozilla.org/en-US/security/advisories/mfsa2019-19/
No es crítica…   » ver todo el comentario
Que se lo digan a la Fábrica Nacional de Moneda y Timbre de España.
Una entidad que se dedica a expedir certificados digitales que no ha conseguido que los navegadores la acepten como fiable. Y es el único medio para que las empresas reciban notificaciones de seguridad social, hacienda, etc...
Y hay que toquetear todos los ajustes de seguridad para que pueda funcionar a su gusto.
www.sede.fnmt.gob.es/certificados/persona-fisica/obtener-certificado-s

Y además ya no soporta firefox 69 o superiores y te da instrucciones de cómo instalar una versión insegura y antigua.
#21 Es penoso
#21 Venía precisamente a comentar eso, que mientras tanto los certificados digitales españoles sólo funcionan con Firefox 68.

Muy seguro todo.
#24 Yo uso mis certificados de la FMNT con normalidad y tengo la versión 72.0.1
#30 #21 #24 ?? Con mucha normalidad no los usarás cuando es la propia administración la que dice que solo se pueden utilizar con una versión antigua. Lo tuyo es una excepción, pero lo normal es que no funcione.

Lo de los certificados en España es una vergüenza. Y lo que me sorprende más es que no haya más artículos periodísticos denunciando esto.
#31 Yo lo uso con normalidad. Pero vaya que estoy deacuerdo en que esa recomendación de la administración está fuera de lugar, mas bien deberían los informáticos de la FNMT ponerse las pilas para que funcione el certificado en todas las versiones de FireFox
#30 Puedes usarlos, si. Pero no puedes descargar un certificado nuevo.
Caducan a los 4 años.
Además que los propios navegadores marcan webs del ministerio como inseguras.
#30 Porque ya estaban instalados, si los intentas instalar nuevos, nones
Nos acercamos cada vez más a un futuro cyberpunk. Imaginaros titulares como:

- Seguridad Nacional de EEUU pide actualizar el firmware de los Teslas.

O cualquier otro cacharro que hayamos normalizado en nuestras vidas y sea esencial: smartphones, facebook portal, amazon echo.. usad vuestra imaginación.
#15 "usad vuestra imaginación. "

"Seguridad Nacional de EEUU pide actualizar el firmware de tu marcapasos." :-D
#15 Más normalizado que el PC con Firefox abierto no tengo nada en mi vida :-D .
Pues yo intento actualizar y me dice que ya está actualizado. Versión 72.0.1 OSX
#4 el OSX es relevante? xD
#4 Porque esa es la última ya parcheada.

#11 A ver si ya lo tienes actualizado.

#6 Podría ser que la numeración de versiones fuera diferente según la plataforma
#33 en android me sale la 68.4.1 actualizada ayer desde la play store.
no se da mucho detalle en la versión, asi que imagino que debe ser la versión ESR o hay varias versiones según la plataforma como dice #13
#6 supongo que no :-|
#4 #11 La que hay que tener instalada es la versión 72.0.1 (última)
Podeis comprobarlo en el canal release
download.cdn.mozilla.net/pub/firefox/releases/
www.mozilla.org/es-ES/plugincheck/
#14 el mío se actualizó esta tarde. Alguna ventaja tienen las "Arch" :-)
#4 Yo también tengo la misma 72.0.1 de 64 bits en Windows y esta actualizado según me pone.
Cierran una puerta que seguro se ha filtrado a gente que no le interasaba a la NSA y ya tendrán otra, no se le pueden poner puertas al campo ni a la NSA :troll:
No se me actualiza y me estoy poniendo nervioso.
Espero que saquen parche para la versión compatible con plugins, la 56

menéame