CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

25/06/2019

Nueva vulnerabilidad de Zero-day en Firefox

Mozilla hace pública otra vulnerabilidad considerada de peligrosidad “alta” y que está siendo explotada activamente en internet. Esta explotación consiste en eludir el mecanismo de aislamiento de la sandbox en el navegador afectado, y si es encadenada con la vulnerabilidad de la semana pasada “CVE-2019-11707” sobre confusión de tipos, podría permitir a un atacante ejecutar código malicioso en el equipo cuando la victima visite una web maliciosa.

Riesgo: Alto

Este nuevo fallo de seguridad ha sido detectado también por el departamento de seguridad de Coinbase y estaba enfocado principalmente a atacar a los usuarios que utilizaran plataformas de compra o trading de criptomonedas, como Coinbase.

El problema de esta vulnerabilidad es que permite la manipulación de llamadas IPC para abrir contenido web en un proceso secundario que no usa un sandbox. Si esto se combina con otra vulnerabilidad, este problema permite omitir todos los niveles de protección y organizar la ejecución del código en el sistema.

Sistemas Afectados: Referencias:

CVE-2019-11708

Solución: Notas:

Más información de la noticia aquí.

Fuente: Hispasec - Una al día

CSIRT-CV