El pasado viernes, Tor Browser sacó una parche de seguridad para su navegador. El agujero afecta también a Firefox que tendrá disponible la actualización el próximo martes.
Tor Browser es un navegador basado completamente en Firefox con la peculiaridad de que el trasiego de datos se realiza exclusivamente a través de la red Tor. Al ser idéntico al navegador de Mozilla, cualquier fallo de seguridad detectado en Tor Browser es aplicable también a Firefox.
La vulnerabilidad permite realizar un ataque «man-in-the-middle» que es capaz de ofrecer un certificado falso para hacerse pasar por los servidores de Mozilla. Con esto, un atacante puede inducir la actualización de ciertas extensiones de Firefox ofreciendo código malicioso. Este certificado «falso» tendría que haberse emitido por alguna de las entidades certificadoras por las que responde Firefox.
Desde Mozilla han hecho la siguiente declaración:
Hemos investigado esto y la solución se enviará el martes 20 de septiembre con la siguiente versión de Firefox. El 4 de septiembre solucionamos un problema en la Developer Edition pero un «certificate pinning» ha caducado para los usuarios de la versión normal y la versión son soporte extendido. Vamos a activar HPKP en el servidor addons.mozilla.org para que esos usuarios permanezcan protegidos una vez que hayan visitado el sitio incluso si los pins internos han caducado.
De esa forma, si te preocupa que una actualización de una extensión pueda poner en peligro la seguridad del navegador, tendrás que usar una alternativa a Firefox hasta el próximo martes. Los que sigan usando el navegador, deberán estar al tanto y actualizar tan pronto esté disponible la nueva versión.
Vía Ars Technica.