Mozilla Firefox corrige una falla crítica de día cero que permitía ejecutar código arbitrario

Mozilla ha lanzado una serie de actualizaciones de su navegador, Firefox, que corrigen una vulnerabilidad clasificada como 'Use-After-Free' (UAF) de gravedad crítica y día cero ('zero day'), la cual que permitía la ejecución de código arbitrario.

UAF es una falla que se da con el uso incorrecto de la memoria dinámica durante la ejecución de un programa. Más concretamente, se produce cuando este servicio emplea una dirección de memoria que haya sido liberada. De esa manera, puede provocar la denegación del servicio o la ejecución de código, entre otras acciones.

El especialista en ciberseguridad de ESET, Damien Schaeffer, ha descubierto e informado al equipo de Mozilla una vulnerabilidad de seguridad de día cero y gravedad crítica identificada con la nomenclatura CVE-2024-9680.

La desarrolladora del navegador ha confirmado en su página web que el atacante "pudo ejecutar código en el procesamiento de contenido al explotar un 'Use-After-Free' (UAF) en las líneas de tiempo de las animacies", tal y como ha señalado en su reporte.

Estas fuentes de valores, que forman parte de la Interfaz de Aplicaciones (API, por sus siglas en inglés) son las que se utilizan para controlar el progreso y la sincronización de las animaciones en la web, tal y como recuerda Bleeping Computer.

La compañía también ha adelantado que ha recibido informes que determinan que esta vulnerabilidad de se ha explotado en la práctica y afecta a la última versión de Firefox y a las versiones de soporte extendido (ESR). Así, ha lanzado las actualizaciones Firefox 131.0.2, Firefox ESR 115.16.1 y Firefox ESR 128.3.1.

Para actualizar las versiones afectadas, por tanto, se debe acceder a la pestaña de 'Menú', elegir la opción 'Ayuda' y pulsar sobre 'Acerca de Firefox', lo que permite instalar el parche de seguridad, ya disponible. Después, se debe reiniciar el programa, a fin de que se apliquen los comentados cambios.