Mozilla i Google van anunciar aquesta setmana actualitzacions de programari per a Firefox i Chrome que aborden múltiples vulnerabilitats d’alta gravetat, incloent-hi errors de seguretat de la memòria.
Anàlisi
El dimarts, Mozilla va llançar Firefox 119 amb pedaços per a 11 vulnerabilitats, incloent-hi tres problemes d’alta gravetat.
El primer, CVE-2023-5721, és un error de retard d’activació insuficient que podria provocar que l’usuari active o descarte involuntàriament les indicacions i diàlegs del navegador, la qual cosa podria permetre el segrest de clics, indica Mozilla en el seu avís.
L’actualització del navegador també aborda diversos problemes de seguretat de la memòria rastrejats col·lectivament com a CVE-2023-5730 i CVE-2023-5731, i que, potencialment, podrien permetre als atacants executar codi arbitrari.
Firefox 119 també va arribar amb pedaços per a set errades de gravetat mitjana que van provocar fugues d’encapçalaments, fallades, errors inesperats, obertura d’URL arbitràries, notificacions de pantalla completa enfosquides i elusió de proteccions de descàrrega.
Mozilla també va anunciar el llançament de Firefox ESR 115.4 i Thunderbird 115.4.1 amb pedaços per a huit dels problemes solucionats amb Firefox 119, incloent-hi CVE-2023-5721 i CVE-2023-5730.
El fabricant del navegador no esmenta que cap d’aquestes vulnerabilitats s’aprofite en atacs maliciosos.
D’altra banda, Google va anunciar una actualització de programari per a Chrome que soluciona dues vulnerabilitats, incloent-hi un problema d’alta gravetat informat per un investigador extern.
Registrada com a CVE-2023-5472, l’error es descriu com un problema d’ús després de l’alliberament en Perfils.
Els errors d’ús després de l’alliberament en Chrome es poden explotar per a escapar de l’entorn limitat del navegador i potencialment executar codi en el sistema operatiu subjacent, sempre que es puguen combinar amb altres errors en un procés privilegiat. Google no ha assenyalat que aquesta vulnerabilitat estiga sent explotada en estat salvatge.
- Recursos afectats
- Firefox for iOS amb versions anteriors a la 119.
- Thunderbird amb versions anteriors a la 115.4.1.
- Firefox amb versions anteriors a l’ESR 115.4
- Firefox amb versions anteriors a la 119.
- Chrome amb versions anteriors a la 118.0.5993.117 per a macOS i Linux i amb versions anteriors a la 118.0.5993.117/.118 per a Windows.
Recomanacions
Aplicar les actualitzacions necessàries a les versions que corregeixen les vulnerabilitats:
- Firefox for iOS 119.
- Thunderbird 115.4.1.
- Firefox ESR 115.4
- Firefox 119.
- Chrome 118.0.5993.117 per a macOS i Linux i 118.0.5993.117/.118 per a Windows.
Referències