Mozilla alerta sobre la vulnerabilidad crítica CVE-2024-9680 en Firefox, que permite la ejecución de código malicioso. Se recomienda actualizar a la última versión para mitigar riesgos.
En un reciente aviso de seguridad, la Fundación Mozilla ha identificado una vulnerabilidad zero-day en su navegador Firefox, catalogada como CVE-2024-9680. Este fallo de seguridad, clasificado con una puntuación CVSS de 9.8, se presenta en el componente de líneas de tiempo de animación y permite a los atacantes explotar un error de uso después de liberación (use-after-free) para ejecutar código malicioso en el proceso de contenido del navegador.
Mozilla ha confirmado informes de explotación activa de esta vulnerabilidad en entornos reales, lo que subraya la necesidad de implementar de inmediato las actualizaciones de seguridad recomendadas para mitigar los riesgos asociados.
Acerca de la vulnerabilidad CVE-2024-9680
La vulnerabilidad CVE-2024-9680 representa un fallo crítico de tipo use-after-free en el componente de líneas de tiempo de animación de las herramientas para desarrolladores web de Mozilla [1]. Este defecto permite la ejecución de código arbitrario en el proceso de contenido del navegador, exponiendo a los usuarios a posibles ataques que podrían incluir la descarga y ejecución de código malicioso adicional, como ransomware, desde ubicaciones remotas [2]. La explotación exitosa de esta vulnerabilidad no requiere interacción adicional del usuario más allá de visitar una página web controlada por un atacante, lo que aumenta considerablemente su peligrosidad.
Este problema afecta múltiples versiones de Firefox y Thunderbird, incluyendo versiones anteriores a Firefox 131.0.2 y Thunderbird 131.0.1, y ha sido confirmado como un exploit activo en entornos reales. La vulnerabilidad, con una puntuación CVSS de 9.8, impacta significativamente en la confidencialidad, integridad y disponibilidad de los sistemas afectados, presentando un riesgo elevado para las organizaciones que no implementen las actualizaciones de seguridad recomendadas [3]. Un use-after-free se origina cuando se libera memoria asignada en el heap, pero el puntero a esa memoria no se limpia; un atacante puede manipular datos referenciados por el puntero y provocar una ejecución de código arbitrario bajo control del atacante [2]. Por lo tanto, se recomienda a los usuarios que actualicen a las versiones estables más recientes para mitigar esta vulnerabilidad de manera efectiva.
Productos y versiones afectadas
Según NIST [4], las siguientes versiones de productos se ven afectadas:
Tabla 1. Productos y versiones afectadas
| Producto Afectado | Versión Afectada | Solución |
| Firefox | Versiones anteriores a 131.0.2 | Actualizar a la versión 131.0.2 |
| Firefox ESR | Versiones anteriores a 115.16.1 | Actualizar a la versión 115.16.1 |
| Firefox ESR | Versiones anteriores a 128.3.1 | Actualizar a la versión 128.3.1 |
| Mozilla Thunderbird | Versiones anteriores a 131.0.1 | Actualizar a la versión 131.0.1 |
| Mozilla Thunderbird | Versiones anteriores a 115.16.0 | Actualizar a la versión 115.16.0 |
| Mozilla Thunderbird | Versiones anteriores a 128.3.1 | Actualizar a la versión 128.3.1 |
Recomendaciones
- Actualizar de inmediato a la última versión de Firefox para mitigar riesgos.
- Configurar el navegador para que instale automáticamente las actualizaciones.
- Revisar regularmente la configuración de privacidad y seguridad del navegador.
- Informar cualquier actividad o comportamiento sospechoso al equipo de soporte técnico.
- Realizar limpiezas periódicas de cookies y caché para reducir vulnerabilidades.
- Evitar acceder a sitios inseguros o desconocidos que puedan comprometer la seguridad.
Referencia:
[1] Mozilla Foundation, «Security Vulnerability fixed in Firefox 131.0.2, Firefox ESR 128.3.1, Firefox ESR 115.16.1,» [En línea]. Available: https://www.mozilla.org/en-US/security/advisories/mfsa2024-51/.
[2] J. Moutos, «Firefox Remote Code Execution: CVE-2024-9680,» [En línea]. Available: https://www.threatlocker.com/blog/firefox-remote-code-execution.
[3] Recorded Future, «CVE-2024-9680 Description, Impact and Technical Details,» [En línea]. Available: https://www.recordedfuture.com/vulnerability-database/CVE-2024-9680.
[4] NIST, «NVD – CVE-2024-9680,» [En línea]. Available: https://nvd.nist.gov/vuln/detail/CVE-2024-9680.
