Introducción
Análisis
CVE-2023-34414:
La página de error para sitios con certificados TLS inválidos carecía del retardo de activación que Firefox utiliza para proteger las solicitudes y los diálogos de permiso de ataques que explotan los retrasos en el tiempo de respuesta humana. Si una página maliciosa provocaba clics del usuario en lugares precisos inmediatamente antes de navegar a un sitio con un error de certificado y hacía que el renderizador estuviera extremadamente ocupado al mismo tiempo, podía crear un intervalo entre el momento en que se cargaba la página de error y el momento en que se actualizaba la pantalla. Con la sincronización adecuada, los clics provocados podrían aterrizar en ese espacio y activar el botón que anula el error de certificado para ese sitio.
CVE-2023-34416:
CVE-2023-34417:
Versiones afectadas
- Versiones de Firefox anteriores a 114
- Versiones de Firefox ESR anteriores a la 102.12
Recomendaciones
- Actualice a Firefox versión 114
- Actualice a Firefox ESR versión 102.12
Referencias
https://www.mozilla.org/en-US/security/advisories/mfsa2023-19/
https://www.mozilla.org/en-US/security/advisories/mfsa2023-20/