Centro de Ayuda
Conectarse
Conectarse

¿Cómo podemos ayudarle?

Temas comunes:

AI, Tickets, Agents
Centro de ayuda
In this Article:
    1. Atera Support
    2. Biblioteca
    3. Avisos especiales

    Falla de seguridad de Mozilla (CVE-2024-9680)

    Dragos Gabriel Tulbure

    Se ha descubierto una vulnerabilidad crítica de seguridad, CVE-2024-9680, en Firefox y Firefox Extended Support Release (ESR). Esta vulnerabilidad está siendo explotada activamente en la naturaleza, poniendo a los usuarios en riesgo de ejecución remota de código (RCE). El problema surge de un error de uso después de liberar en el componente de la línea de tiempo de Animación del navegador.

    La vulnerabilidad ha recibido un puntaje CVSS de 9.8, lo que indica un nivel crítico de severidad. Se recomienda encarecidamente a los usuarios que actualicen sus navegadores inmediatamente a las versiones más recientes para mitigar el riesgo.

     

    Detalles Clave

    • ID de Vulnerabilidad: CVE-2024-9680
    • Puntaje CVSS: 9.8 (Crítico)
    • Componente Afectado: Componente de la línea de tiempo de Animación en Firefox
    • Tipo: Vulnerabilidad de uso después de liberar
    • Explotado en la Naturaleza: Sí
    • Impacto: Ejecución Remota de Código (RCE)

     

    Impacto de la Explotación

    Un atacante puede explotar esta vulnerabilidad para ejecutar código arbitrario dentro del proceso de contenido del navegador. Esto podría permitir potencialmente a los atacantes instalar malware o obtener acceso no autorizado al sistema de la víctima.

    Mozilla ha declarado que recibieron una "cadena de explotación completa" de ESET, que demuestra cómo esta vulnerabilidad puede ser utilizada para realizar RCE en una máquina objetivo. Aunque no se han divulgado métodos específicos de explotación, los vectores típicos de explotación incluyen:

    • Ataques de abrevadero: Apuntar a sitios web específicos para infectar a los visitantes.
    • Campañas de descarga involuntaria: Engañar a los usuarios para que visiten sitios web maliciosos.

     

    Versiones Afectadas

    Las siguientes versiones de Firefox y Firefox ESR son vulnerables:

    • Firefox 131.0.1 y versiones anteriores.
    • Firefox ESR 128.3.0 y versiones anteriores.
    • Firefox ESR 115.16.0 y versiones anteriores.

     

    Versiones Resueltas

    El problema ha sido solucionado en las siguientes versiones:

    • Firefox 131.0.2
    • Firefox ESR 128.3.1
    • Firefox ESR 115.16.1

    Los usuarios deben actualizar a estas versiones o más recientes para asegurarse de estar protegidos contra la vulnerabilidad.

     

    Recomendaciones

    Para protegerse contra esta vulnerabilidad crítica, se aconseja a los usuarios:

    1. Actualizar a la última versión de Firefox o Firefox ESR inmediatamente:

      • Los usuarios de Firefox deben actualizar a 131.0.2.
      • Los usuarios de Firefox ESR deben actualizar a 128.3.1 o 115.16.1.

    2. Verificar la versión de su navegador navegando a Ayuda > Acerca de Firefox para asegurarse de que está utilizando una versión parcheada.

     

    Actualizar usando Atera

    Para abordar la vulnerabilidad crítica CVE-2024-9680, puedes actualizar Firefox a una versión segura directamente a través de Atera. La función de Actualización de Software de Atera, disponible dentro de los Perfiles de Automatización de TI, te permite automatizar el proceso de parcheo para todos los dispositivos gestionados.

     

    Pasos para actualizar Firefox:

    1. Inicia sesión en tu cuenta de Atera.
    2. Navega a Admin > Automatización de TI.
    3. Selecciona el Perfil de Automatización de TI relevante para los dispositivos que requieren la actualización de Firefox.
    4. Asegúrate de que Actualizaciones de Software esté habilitado dentro del perfil.
    5. Aplica los cambios y ejecuta el perfil para desplegar la actualización de Firefox en todos los dispositivos seleccionados.

    Para pasos detallados, por favor consulta el siguiente artículo:

     

    Esto asegurará que todos los sistemas estén actualizados a la última versión segura, protegiéndolos de la explotación activa de CVE-2024-9680.

     

    Nota importante: Para Firefox ESR 128.3.1 y Firefox ESR 115.16.1 no es posible actualizar usando la función Actualización de Software que se encuentra dentro de los perfiles de Automatización de TI, tienes la opción de cargar las últimas versiones como un script en Atera y ejecutarlos en tus dispositivos ya sea manualmente o asignando el script en un perfil de Automatización de TI.

     

     

    Copyright © Atera Networks Ltd.2023

    apple store app google play app

    AICPA SOC for Service Organizations and ISO 27001 certified