Mozilla corrige dos fallas críticas de día cero en Firefox

La agencia estadounidense de infraestructura de seguridad cibernética (CISA) reveló que Mozilla había lanzado parches para Firefox 74.0.1 y su versión ESR 68.6.1 (con soporte a largo plazo) después de descubrir dos vulnerabilidades de día cero. Estos han sido explotados. Crean una vulnerabilidad de "uso libre después", una forma de corrupción de memoria que los hackers pueden usar para ejecutar código malicioso de forma remota.

La falla CVE-2020-6819 existe bajo ciertas condiciones cuando se ejecuta el destructor nsDocShell. La otra infracción, denominada CVE-2020-6820, existe bajo ciertas condiciones cuando se maneja un ReadableStream. Para ambas vulnerabilidades, una situación temporal (o "condición de carrera") puede causar un caso de "uso libre después de". Mozilla no proporcionó detalles sobre cómo los hackers explotaron estos defectos en su código de navegador. CISA alienta a los usuarios a aplicar las correcciones necesarias.