Introducció
S’han descobert múltiples vulnerabilitats en Mozilla Firefox, Firefox ERS i Thunderbird.
Anàlisi
Mozilla ha emés un avís de seguretat on es tracten 13 vulnerabilitats que afecten el navegador Firefox, Firefox ERS i al client de correu electrònic multiplataforma Mozilla Thunderbird. Dins d’estes destaquen 4 de severitat alta els identificadors de la qual són CVE-2023-37201, CVE-2023-37202, CVE-2023-37211, CVE-2023-37212, que de ser explotades podrien conduir a condicions use-after-free i d’execució arbitrària de codi.
- CVE-2023-3482: Bloquejar totes les cookies de bypass per a localstorage
- CVE-2023-37201: Use-after-free en la generació de certificats WebRTC
- CVE-2023-37202: Possible ús després de l’alliberament de la falta de coincidència de compartiment en SpiderMonkey
- CVE-2023-37203: L’API d’arrossegar i soltar pot proporcionar accés a arxius locals del sistema
- CVE-2023-37204: Notificació de pantalla completa enfosquida a través de l’element d’opció
- CVE-2023-37205: Suplantació d’URL en la barra de direccions utilitzant caràcters RTL
- CVE-2023-37206: Validació insuficient d’enllaços simbòlics en l’API FileSystem
- CVE-2023-37207: Notificació de pantalla completa enfosquida
- CVE-2023-37208: Falta d’advertiment en obrir arxius Diagcab
- CVE-2023-37209: Use-after-free en `NotifyOnHistoryReload`.
- CVE-2023-37210: Prevenció d’eixida del mode de pantalla completa
- CVE-2023-37211: Fallades de seguretat de memòria corregits en Firefox 115, Firefox ESR 102.13 i Thunderbird 102.13
- CVE-2023-37212: Memory safety bugs fixed in Firefox 115
VERSIONS AFECTADES:
- Mozilla Firefox versions anteriors a 115.
- Firefox ESR versions anteriors a 102.13.
- Firefox Thunderbird versions anteriors a 102.13.
Recomanacions
Per a la mitigació d’estes vulnerabilitats, es recomana tindre sempre els sistemes i aplicacions actualitzades a l’última versió disponible quan es publiquen les actualitzacions corresponents.
Per a solucionar els problemes esmentats, Mozilla recomana instal·lar la versió més recent de Firefox i Thunderbird.
- Actualitzar Mozilla Firefox a 115.
- Actualitzar Firefox ESR a 102.13.
- Actualitzar Firefox Thunderbird a 102.13.
Referències
- https://www.mozilla.org/en-US/security/advisories/mfsa2023-22/
- https://nvd.nist.gov/vuln/detail/CVE-2023-3482
- https://nvd.nist.gov/vuln/detail/CVE-2023-37201
- https://nvd.nist.gov/vuln/detail/CVE-2023-37202
- https://nvd.nist.gov/vuln/detail/CVE-2023-37203
- https://nvd.nist.gov/vuln/detail/CVE-2023-37204
- https://nvd.nist.gov/vuln/detail/CVE-2023-37205
- https://nvd.nist.gov/vuln/detail/CVE-2023-37206
- https://nvd.nist.gov/vuln/detail/CVE-2023-37207
- https://nvd.nist.gov/vuln/detail/CVE-2023-37208
- https://nvd.nist.gov/vuln/detail/CVE-2023-37209
- https://nvd.nist.gov/vuln/detail/CVE-2023-37210
- https://nvd.nist.gov/vuln/detail/CVE-2023-37211