E a Mozilla corrigiu duas falhas zero-day do Firefox ativamente explorada através da atualização de seus navegador. Confira os detalhes das falhas.
A Mozilla lançou o Firefox 74.0.1 e o Firefox ESR 68.6.1 anteriormente para solucionar duas vulnerabilidades críticas ativamente abusadas na natureza que poderiam levar à execução remota de código em máquinas vulneráveis.
Mozilla corrigiu duas falhas zero-day do Firefox ativamente exploradas
As duas falhas de segurança corrigidas nessas atualizações podem permitir que invasores executem códigos arbitrários ou acionem falhas em máquinas que executam versões vulneráveis do Firefox.
Como diz o comunicado de segurança da Mozilla, os desenvolvedores do Firefox “estão cientes dos ataques direcionados” que abusam “dessas duas vulnerabilidades com uma classificação de gravidade crítica.
As falhas de dia zero do Firefox e do ESR corrigidas hoje pela Mozilla foram relatadas por Francisco Alonso, trabalhando com Javier Marcos, da JMP Security.
https://twitter.com/revskills/status/1246141325680017415
O primeiro, rastreado como CVE-2020-6819, deve-se a um bug use-after-free causado por uma race condition ao executar o destruidor nsDocShell.
O segundo zero-day corrigido, rastreado como CVE-2020-6820, também é induzido por um bug use-after-free gerado por uma race condition ao manipular um ReadableStream.
Os invasores não autenticados remotos podem induzir as vítimas em potencial a visitar um site criado com códigos maliciosos para acionar essas duas vulnerabilidades e, subsequentemente, executar código arbitrário em dispositivos executando versões sem patch do Firefox.
A exploração bem-sucedida de uma dessas vulnerabilidades pode permitir que os invasores comprometam os sistemas vulneráveis.
Embora nenhuma informação adicional sobre como essas falhas foram exploradas esteja disponível no momento, considerando que elas são classificadas como críticas e atualmente exploradas em estado selvagem, todos os usuários devem instalar a versão corrigida do Firefox 74.0.1.
A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) também emitiu um alerta dizendo que “um invasor pode explorar essa vulnerabilidade para controlar o sistema afetado” e incentivando os usuários a aplicar a atualização de segurança.
A Mozilla corrigiu outro zero-day do Firefox, explorado ativamente, com o lançamento do Firefox 72.0.1 em janeiro, também usado em ataques direcionados.
Em junho de 2019, a Mozilla corrigiu duas vulnerabilidades zero-day exploradas ativamente usadas em ataques direcionados contra empresas de criptomoeda como a Coinbase.
Em 2016, a Mozilla corrigiu mais um zero-day explorado na natureza com o lançamento do Firefox 50.0.2, enquanto o Projeto Tor lançou o Tor Browser 6.0.7 para corrigir o mesmo problema.
Com instalar o Firefox
Você pode fazer isso verificando manualmente a nova atualização, acessando o menu Firefox->Ajuda->Sobre o Firefox
e pressionando o botão Atualizar.
A atualização do Firefox está sendo lançada no canal estável, o que significa que os usuários dos sistemas macOS e Windows agora podem atualizar suas instalações por meio de atualizações OTA (Over-the-Air).
Por outro lado, os usuários do Linux terão que esperar o Firefox 74 chegar aos repositórios de software estáveis de suas distribuições favoritas do Linux.
A nova versão estará no repositório oficial do Ubuntu e outras distros em breve. Até lá, quem quiser se adiantar (ou não), deve usar uma das opções abaixo.
Para instalar a versão mais recente do Firefox em qualquer distribuição Linux, use esse tutorial:
Firefox no Linux: veja como instalar manualmente
Se você precisa de um Firefox estável e que suporta plugins abandonados pela versão principal do navegador, veja como instalar o Firefox ESR no Linux manualmente.
Firefox ESR no Linux – veja como instalar manualmente
Já se você usa o Ubuntu ou um derivado dele e atualizou o sistema, e a nova versão não apareceu, siga os passos deste tutorial e resolva seu problema.
Firefox no Ubuntu: veja como manter o navegador atualizado
E se você quiser experimentar as últimas versões do Firefox no Ubuntu, dê uma olhada nesse tutorial:
Como experimentar as últimas versões do Firefox no Ubuntu
Você também pode instalar o programa usando esse outro tutorial:
Como instalar o navegador Firefox no Linux via Snap
- Como instalar o jogo AstroMenace no Linux via Flatpak
- Como instalar o jogo Biplanes Revival no Linux via Flatpak
- Instalando o simulador de corridas Speed Dreams no Linux
- Como instalar o jogo de corrida SuperTuxKart no Linux