Introducción
El día 5 de marzo Mozilla publicó nuevas versiones del navegador Firefox para solucionar un par de vulnerabilidades críticas 0-day explotadas activamente en ataques. [1]
Análisis
La explotación exitosa de estas vulnerabilidades puede causar un cierre inesperado del programa o ejecutar comandos arbitrarios en la máquina.
Las vulnerabilidades han sido clasificadas como críticas y son las siguientes:
- CVE-2022-26485: La eliminación de un parámetro XSLT durante el procesamiento podría conllevar una explotación de vulnerabilidad “use-after-free”. Hemos tenido informes de ataques en la naturaleza abusando de este defecto.
- CVE-2022-26486: Un mensaje inesperado en el framework de WebGPU IPC podría dar lugar a una explotación de vulnerabilidad “use-after-free” y a un escape explotable de la sandbox de Firefox.
Mozilla indica que estas vulnerabilidades se están explotando activamente en ataques.
Recomendaciones
Se recomienda actualizar a las versiones Firefox 97.0.2, Firefox ESR 91.6.1, Firefox para Android 97.3.0 y Focus 97.3.0 que corrigen estas vulnerabilidades.
Referencias
[1] https://www.mozilla.org/en-US/security/advisories/mfsa2022-09/#CVE-2022-26485