La
Fundación Mozilla ha publicado una
actualización de seguridad (MFSA 2015-78) destinada a corregir una
vulnerabilidad crítica en el navegador Firefox.
El problema (con CVE-2015-4495) reside en una
violación de la política de mismo origen y una inyección de scripts en una
parte sin privilegios del visor de PDFs incorporado en Firefox y Firefox ESR.
Esto podría permitir a un atacante leer y robar archivos del sistema de la
víctima.
Mozilla confirma que en la
actualidad existe un exploit que se está utilizando de forma activa. Al menos se
ha reportado su utilización en una publicidad en un sitio de noticias ruso.
Se ha publicado las versiones
Firefox 39.0.3 y Firefox ESR 38.1.1 que se encuentran disponibles para su
descarga a través de los canales habituales o mediante las actualizaciones
automáticas.
Más información:
MFSA 2015-78 Same origin violation and local
file stealing via PDF reader
Firefox exploit found in the wild
Antonio Ropero
Twitter: @aropero