Alertas

Vulnerabilidades en Firefox

08 Jun 2023

INTRODUCCIÓN

Se han descubierto múltiples vulnerabilidades en Mozilla Firefox y Firefox ESR. Permiten a un atacante saltarse la política de seguridad y ejecutar remotamente código arbitrario.

ANÁLISIS

CVE-2023-34414 gravedad alta:

La página de error para sitios con certificados TLS inválidos carecía del retardo de activación que Firefox utiliza para proteger las solicitudes y los diálogos de permiso de ataques que explotan los retrasos en el tiempo de respuesta humana. Si una página maliciosa provocaba clics del usuario en lugares precisos inmediatamente antes de navegar a un sitio con un error de certificado y hacía que el renderizador estuviera extremadamente ocupado al mismo tiempo, podía crear un intervalo entre el momento en que se cargaba la página de error y el momento en que se actualizaba la pantalla. Con la sincronización adecuada, los clics provocados podrían aterrizar en ese espacio y activar el botón que anula el error de certificado para ese sitio.

CVE-2023-34416 gravedad alta:

Los desarrolladores de Mozilla y miembros de la comunidad Gabriele Svelto, Andrew McCreight, el Mozilla Fuzzing Team, Sean Feng y Sebastian Hengst informaron de fallos de seguridad de memoria presentes en Firefox 113 y Firefox ESR 102.11. Algunos de estos fallos mostraban evidencias de corrupción de memoria y suponemos que con suficiente esfuerzo algunos de ellos podrían haber sido explotados para ejecutar código arbitrario.

CVE-2023-34417 gravedad alta:

Los desarrolladores de Mozilla y miembros de la comunidad Andrew McCreight, Randell Jesup y el Mozilla Fuzzing Team informaron de fallos de seguridad de memoria presentes en Firefox 113. Algunos de estos fallos mostraban evidencias de corrupción de memoria y suponemos que con suficiente esfuerzo algunos de ellos podrían haber sido explotados para ejecutar código arbitrario.

VERSIONES AFECTADAS

Versiones de Firefox anteriores a 114
Versiones de Firefox ESR anteriores a la 102.12

RECOMENDACIONES

Actualice a Firefox versión 114
Actualice a Firefox ESR versión 102.12

REFERENCIAS

https://www.mozilla.org/en-US/security/advisories/mfsa2023-19/
https://www.mozilla.org/en-US/security/advisories/mfsa2023-20/

Cookie	Duración	Descripción
_GRECAPTCHA	6 meses	El servicio recaptcha de Google configura esta cookie para identificar bots y proteger el sitio web contra ataques de spam maliciosos.
cookielawinfo-checkbox-analytics	1 año	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para registrar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional	1 año	La cookie está configurada por el complemento de consentimiento de cookies GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necesaria	1 año	Establecido por el complemento de consentimiento de cookies de GDPR para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
CookieLawInfoConsent	1 año	Registra el estado del botón predeterminado de la categoría correspondiente el estado de CCPA. Funciona solo en coordinación con la cookie principal.