Mozilla parcheará un error de Día Cero en Firefox

El fallo permite la explotación de código arbitrario para perpetrar estafas de suplantación ‘man-in-the-middle’ que ya han afectado a los usuarios de la red anónima Tor.

Mozilla solucionará un fallo de seguridad en su navegador Firefox que podría permitir a posibles atacantes perpetrar estafas de suplantación ‘man-in-the-middle’ que también han afectado a la red de Tor.

El fallo fue descubierto por primera vez por investigadores de seguridad en los ataques perpetrados contra Tor antes de que se publicara un parche de seguridad en la versión 6.0.5.

“Esta vulnerabilidad permite a un atacante obtener un certificado válido para addons.mozilla.org y hacerse pasar por servidores de Mozilla para extender código malicioso”, ha afirmado Georg de Koppen, desarrollador de Tor.

La necesidad de obtener un certificado TLS legítimo para addons.mozilla.org es “difícil de lograr pero no imposible”, han señalado los investigadores.

Este ataque permite la ejecución remota de código contra los usuarios cuando acceden a recursos específcios del navegador y mediante la monitorización pasiva del tráfico. En el caso de la navegación web con Tor se han podido explotar datos de los usuarios a gran escala a través de la implantación de paquetes de lenguajes de programación, direcciones IP públicas, cachés de DNS y el almacenamiento de cookies y del historial web, entre otros.

Mozilla lanzará una actualización para Firefox el 20 de septiembre.