pixel_dreams - Fotolia

Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Mozilla y Tor publican parches para falla de Firefox que expone a los usuarios de Tor

Los usuarios de la navegación anónima Tor instaron a actualizar a las últimas versiones relevantes de software para bloquear una vulnerabilidad que recoge las direcciones IP y MAC para identificar a los usuarios.

Mozilla y el Proyecto Tor han publicado actualizaciones de software para bloquear a los atacantes que usan una vulnerabilidad de Firefox de día cero para identificar a los usuarios de los servicios anónimos de navegación web de Tor.

El navegador Tor se basa en el navegador Firefox de código abierto, desarrollado por la Fundación Mozilla.

La última versión del navegador Firefox es 50.0.2, el navegador Tor fue actualizado a 6.0.7, y Tails OS (sistema operativo), que utiliza la red Tor, también se ha actualizado a la versión 2.7.1.

Aunque se cree que la vulnerabilidad de Firefox solo se ha utilizado contra los usuarios de Windows, podría utilizarse teóricamente contra usuarios de Mac OS X y Linux, según Neowin.

Mozilla dijo que las copias existentes de Firefox deben actualizarse automáticamente, pero que los usuarios también pueden descargar la versión actualizada manualmente.

La actualización se publicó después de que Mozilla recibiera código para un exploit, utilizando una vulnerabilidad previamente desconocida en Firefox el 29 de noviembre de 2016.

El código también se publicó en un grupo de discusión de Tor, lo que significó que un exploit altamente confiable se puso rápidamente a disposición de millones de personas.

El exploit se aprovecha de un error en Firefox para permitir al atacante ejecutar código arbitrario en el sistema de destino, haciendo que la víctima cargue una página web que contiene código malicioso de JavaScript y SVG (gráficos vectoriales escalables).

Utiliza esta capacidad para recolectar la dirección IP y la dirección MAC del sistema de destino, y reportarlas de nuevo a un servidor central, escribió Daniel Veditz, jefe de seguridad de Mozilla, en una entrada de blog.

"El exploit, en este caso, funciona esencialmente de la misma manera que la ‘técnica de investigación en red’ utilizada por el FBI para quitar el anonimato a los usuarios de Tor (como lo describió el FBI en una declaración jurada).

"Esta similitud ha llevado a la especulación de que este exploit fue creada por el FBI u otra agencia de aplicación de la ley", dijo.

Si esto fue, de hecho, desarrollado y desplegado por una agencia gubernamental, Veditz dijo que el hecho de que haya sido publicado y ahora pueda ser utilizado por cualquiera para atacar a los usuarios de Firefox es una clara demostración de cómo el hackeo del gobierno, supuestamente limitado, puede convertirse en una amenaza para la web más amplia.

Se recomienda a los usuarios del navegador Tor actualizar todo su software de navegación a las últimas versiones, y reiniciar su navegador Tor después de actualizar.

Según las notas de lanzamiento de la última versión de Firefox, la vulnerabilidad subyacente se identifica como CVE-2016-9079 y se considera crítica.

Una advertencia de seguridad independiente de Mozilla muestra que la falla también afecta a la aplicación de correo electrónico Thunderbird de Mozilla, así como a la versión liberada de soporte extendido de Firefox utilizada por el navegador Tor, informa Ars Technica.

Una conversación en un foro en línea para discutir los errores de Firefox indicó que la falla crítica ha existido en la base de código del navegador durante cinco años.

La noticia del exploit ha generado preocupaciones de que pueda haber sido usado para desenmascarar disidentes políticos o usuarios inocentes de los servicios de anonimato de Tor.

Próximos pasos

Quizás le interese también:

Microsoft apuesta por la seguridad en el borde con un nuevo navegador

Pwn2Own 2015: los navegadores de internet no se salvaron de caer

Oracle cierra un vector de ataque eliminando el plug-in de Java

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close