Mozilla corrige de urgencia un fallo crítico antes de lanzar Firefox 49
Tal y como os informábamos hace unos días, el lanzamiento de la esperada por muchos nueva versión del conocido navegador de Mozilla, nos referimos a Firefox 49, se retrasó debido a diversos problemas que se detectaron a última hora.
En un principio el lanzamiento al gran público de esta nueva versión estaba prevista para el pasado día 13, pero se tuvo que retrasar tras detectar dos fallos bloqueantes que tenían que ser resueltos por los desarrolladores antes de su salida.
Pues bien, acabamos de conocer otra vulnerabilidad crítica en el código fuente del extendido navegador, esta permitiría a un posible atacante hacerse pasar por los servidores de Mozilla con el fin de entregar actualizaciones de add-on falsas a los usuarios. Cabe mencionar que otro software similar, Tor Browser, que también se basa en una versión de Firefox, encontró este mismo problema hace unas horas poniéndose manos a la obra al instante para solventarlo. Es por ello que al mismo tiempo y a través de un anuncio que acaba de ser publicado, el Gerente Senior de Ingeniería de Seguridad de Mozilla ha afirmado que también están en predisposición de incluir una solución para este error crítico en Firefox 49, actualización que verá la luz el próximo martes 20.
¿Cuál es el error de seguridad?
En concreto este problema se encuentra en el mecanismo con el que Firefox utiliza los certificados HTTPS que recibe de los servidores, que son diferentes al estándar HPKP. Por lo tanto un atacante podría ser capaz de obtener un certificado falso firmado por los mismos dominios de Mozilla.com para de ese modo entregar actualizaciones de add-on con código malicioso. Todo esto se llevaría a cabo sin que el propio software detectase errores de compatibilidad en estos certificados instalados en Firefox, ya que el programa tan solo comprueba el dominio de las mismas.
Todo esto estará subsanado en Firefox 49 y, para prevenir futuros ataques, Mozilla también quiere volver a configurar el servidor addons.mozilla.com para actualizar las claves de certificados todos los días, esto aumentaría ostensiblemente la dificultad de llevar a cabo más ataques para explotar este error. Asimismo hay que tener en cuenta que los usuarios de Firefox sin complementos no se verían afectados, pero los que utilicen habitualmente Tor Browser sí, ya que este se distribuye con dos complementos cruciales que sirven para proteger su privacidad, por lo que se recomienda que sea actualizado de inmediato.