La última versión del navegador de Mozilla, Firefox 58, se ha actualizado una semana después de su lanzamiento a la versión 58.0.1 para solucionar una vulnerabilidad crítica que permitía la ejecucción de código arbitrario capaz de tomar el control de los sistemas por parte de un atacante remoto no identificado.

La vulnerabilidad, según Cisco, se debía a la desinfección insuficiente de fragmentos HTML en determinados documentos. El ataque se llevaría a cabo, en primer término, persuadiendo a un usuario para que accediese a un enlace o un archivo que enviase información maliciosa al navegador afectado.

Un exploit exitoso podría permitir al atacante ejecutar código arbitrario con los privilegios del usuario. Si el usuario tiene privilegios elevados, el atacante podría comprometer el sistema por completo.

La versión 58.0.1 soluciona el fallo crítico

En las notas de lanzamiento de Firefox 58.0.1 Mozilla confirma la vulnerabilidad dándola por solucionada. En el detalle del problema de seguridad, se explica que fue conocido el pasado lunes, que fue notificado por un desarrollador de Mozilla, Johann Hofmann, y que su impacto se califica como "crítico". El problema, especifican, no afectó a Firefox para Android ni Firefox 52 ESR.

El aprovechamiento de esta vulnerabilidad, CVE-2018-5124, todavía no descrita en su ficha de la lista de Common Vulnerabilities and Exposures, implicaría que con abrir un enlace malintencionado de un correo, una conversación de chat, una web o un mensaje en una red social, un usaurio logueado en su sistema con una cuenta de administrador podría ver cómo …