Vulnerabilidad crítica Mozilla Firefox 97.0.2 permite ejecución de código (CVE-2022-26485)

11 de marzo de 2022 por Yhojann Aguilera Aguayo en Vulnerabilidades.

img

Resumen

En Chile existe la gran preocupación entre distintas entidades importantes, debido a una vulnerabilidad crítica que podría poner en riesgo la continuidad de sus operaciones.

Se publicó un problema de seguridad crítico en Mozilla Firefox 97.0.2 el cual permite la ejecución de código remoto, esto quiere decir que con tan solo visitar un sitio WEB malicioso, un atacante podría ejecutar comandos en el Sistema Operativo ya que esta vulnerabilidad también impacta en el mecanismo de seguridad de Sandboxing que protege al navegador frente a la ejecución de código.

Un usuario podría exponer todos sus datos de usuario tales como contraseñas, sesiones guardadas y datos de otras aplicaciones instaladas en el Sistema Operativo.

Mozilla ha categorizado dos vulnerabilidades asociadas con los siguientes nombres:

El riesgo

Esta vulnerabilidad aun se encuentra en entrega del puntaje CVSS, pero de todas maneras se ha confirmado la ejecución remota de código, por lo cual cabe esperar que su puntaje sea muy alto, muy cerca de 9.0 o 10.0.

Algunas fuentes

Análisis del impacto

Esta vulnerabilidad tiene dos impactos directos, uno se refiere a que es posible ejecutar comandos del lado del equipo del usuario y el otro es la posibilidad de escapar de la Sandbox de Mozilla Firefox, pero ¿a que se refiere?.

Ejecución de código: Use-after-free es un tipo de vulnerabilidad categorizado por la CWE que consiste en la reutilización de un puntero en memoria después de haber sido limpiada, este problema puede llevar a un atacante a inyectar bytes en memoria dentro del Sistema Operativo e indicar la ejecución de algún comando como por ejemplo el Bash del Sistema en Linux, Powershell en Windows y similares. Esto podría causar por ejemplo que un atacante indique al navegador WEB de Mozilla Firefox que descargue un ejecutable malicioso y lo ejecute sin previo aviso o consentimiento del usuario.

Evasión de la sandbox: Para evitar este tipo de problemas todo navegador WEB moderno cuenta con un mecanismo de protección de Sandboxing el cual consiste en la aislación (siolación) tanto de la memoria como del proceso, en otras palabras, cada pestaña se ejecuta en un Worker diferente, de esta manera una vulnerabilidad dentro de un proceso dificilmente podría escalar a ejecutar algo dentro del mismo Sistema Operativo, pero este mecanismo de seguridad también fue evadido. Hay que recordar que los mecanismos de Sandboxing son únicamente sistemas mitigantes que intentan evitar problemas de seguridad pero no corrigen los problemas de raiz, por lo cual es muy normal ver en distintas ocasiones como estas sandboxing son evadidas en distintos navegadores WEB.

La conclusión es que un atacante podría crear un sitio WEB malicioso o simplemente hackear alguno ya existene e ingresar y código que al ser visitado podría hacer que el usuario se infecte con un malware, por ejemplo, un Ransomware o Troyano, el cual permite al atacante tomar control y manipular el equipo de la víctima y hacer robo de información como contraseñas y datos de tarjetas bancarias.

Recomendaciones a los usuarios

Esta vulnerabilidad ha sido solucionada hace muy poco por Mozilla, asi que la recomendación es muy clara, se debe actualizar el navegador WEB lo antes posible para evitar que un atacante logre tomar control de tu sistema.

La actualización de un Sistema no solamente cuenta con cambios a nivel de experiencia de usuario sino también de seguridad, por eso se recomienda mantener los sistemas y aplicaciones siempre actualizados.

¿Deseas comentar este artículo?

Únete a la conversación en nuestro grupo de Telegram y comparte tu opinión. Tambien puedes compartirnos tus artículos en nuestro repositorio público.