Firefox

Se ha descubierto una nueva vulnerabilidad para el navegador
web Firefox en su versión 68.11.0 y anteriores. Esta vulnerabilidad, ha
aparecido solo en la aplicación móvil excluyendo por lo tanto la de escritorio.
El fallo permite a un atacante en la misma red Wi-Fi abrir cualquier URL en el
navegador Firefox de la víctima, sin que esta abra ni siquiera el propio
navegador, los atacantes están utilizando el exploit Evil-SSDP para explotar dicha
vulnerabilidad.

El error afecta al motor SSDP del navegador, engañándolo para
que este active los URI de Android sin la interacción del usuario. El ataque
inicia repentinamente aplicaciones en el dispositivo objetivo sin el permiso de
los usuarios.

En este tipo de ataque el usuario no tiene por qué interactuar
con un sitio web malicioso, hacer clic en un enlace malicioso, o instalar
ninguna aplicación maliciosa, simplemente debe tener el navegador Firefox ejecutándose
en su teléfono.

El atacante se encarga de engañar al navegador indicándole
que hay un servidor SSDP “Simple Service Discovery Protocol” con una
configuración determinada, siempre y cuando el atacante y la victima se
encuentren en la misma red Wi-Fi.

El navegador el cual siempre se encuentra en busca de nuevos
servidores SSDP en otros dispositivos, se encuentra con el del atacante, este le
responde con un XML especificando el dispositivo UPnP que puede encontrar en la
red. En este UPnP es donde es encontrara la URL maliciosa, que el atacante hace
visitar a la víctima sin que está tenga que hacer nada.

El investigador InitString descubrió que este error todavía está
presente en la versión de Firefox Mobile v79 e informo de ello directamente a
Mozilla. Mozilla confirmo después, que está vulnerabilidad no se encuentra
presente en la versión más reciente de la aplicación, por lo cual, es
recomendable actualizar la aplicación a su versión más reciente.


Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Más noticias
Un grupo cibercriminal instala malware desde reuniones de Microsoft Teams
Leer más »
Un investigador logra piratear unas entradas de concierto usando IA
Leer más »
Una nueva campaña de phishing suplanta a ChatGPT
Leer más »
Nintendo sufre una exfiltración a través de un proveedor
Leer más »
Intentar burlarte de un estafador no es muy buena idea
Leer más »