Mozilla y Google anunciaron esta semana actualizaciones de software para Firefox y Chrome que abordan múltiples vulnerabilidades de alta gravedad, incluidos errores de seguridad de la memoria.
Análisis
El martes, Mozilla lanzó Firefox 119 con parches para 11 vulnerabilidades, incluidos tres problemas de alta gravedad.
La primera de las fallas, CVE-2023-5721, es un error de retardo de activación insuficiente que podría provocar que el usuario active o descarte involuntariamente las indicaciones y diálogos del navegador, lo que podría permitir el secuestro de clics, señala Mozilla en su aviso .
La actualización del navegador también aborda varios problemas de seguridad de la memoria rastreados colectivamente como CVE-2023-5730 y CVE-2023-5731, y que potencialmente podrían permitir a los atacantes ejecutar código arbitrario.
Firefox 119 también llegó con parches para siete fallas de gravedad media que provocaron fugas de encabezados, fallas, errores inesperados, apertura de URL arbitrarias, notificaciones de pantalla completa oscurecidas y elusión de protecciones de descarga.
Mozilla también anunció el lanzamiento de Firefox ESR 115.4 y Thunderbird 115.4.1 con parches para ocho de los problemas solucionados con Firefox 119, incluidos CVE-2023-5721 y CVE-2023-5730.
El fabricante del navegador no menciona que ninguna de estas vulnerabilidades se aproveche en ataques maliciosos.
Por su parte, Google anunció una actualización de software para Chrome que soluciona dos vulnerabilidades, incluido un problema de alta gravedad informado por un investigador externo.
Registrada como CVE-2023-5472, la falla se describe como un problema de uso después de la liberación en Perfiles.
Los errores de uso después de la liberación en Chrome se pueden explotar para escapar del entorno limitado del navegador y potencialmente ejecutar código en el sistema operativo subyacente, siempre que se puedan combinar con otras fallas en un proceso privilegiado. Google no ha señalado que esta vulnerabilidad esté siendo explotada en estado salvaje.
Recursos afectados
- Firefox for iOS con versiones anteriores a la 119.
- Thunderbird con versiones anteriores a la 115.4.1.
- Firefox con versiones anteriores a la ESR 115.4
- Firefox con versiones anteriores a la 119.
- Chrome con versiones anteriores a la 118.0.5993.117 para macOS y Linux y con versiones anteriores a la 118.0.5993.117/.118 para Windows.
Recomendaciones
Aplicar las actualizaciones necesarias a las versiones que corrigen las vulnerabilidades:
- Firefox for iOS 119.
- Thunderbird 115.4.1.
- Firefox ESR 115.4
- Firefox 119.
- Chrome 118.0.5993.117 para macOS y Linux y 118.0.5993.117/.118 para Windows.
Referencias