Posted on by Seguridad CSIRT-CV

Vulnerabilidades en Firefox

Introducción

Se han descubierto múltiples vulnerabilidades en Mozilla Firefox y Firefox ESR. Permiten a un atacante saltarse la política de seguridad y ejecutar remotamente código arbitrario.
 

Análisis

CVE-2023-34414:

La página de error para sitios con certificados TLS inválidos carecía del retardo de activación que Firefox utiliza para proteger las solicitudes y los diálogos de permiso de ataques que explotan los retrasos en el tiempo de respuesta humana. Si una página maliciosa provocaba clics del usuario en lugares precisos inmediatamente antes de navegar a un sitio con un error de certificado y hacía que el renderizador estuviera extremadamente ocupado al mismo tiempo, podía crear un intervalo entre el momento en que se cargaba la página de error y el momento en que se actualizaba la pantalla. Con la sincronización adecuada, los clics provocados podrían aterrizar en ese espacio y activar el botón que anula el error de certificado para ese sitio.


CVE-2023-34416:

Los desarrolladores de Mozilla y miembros de la comunidad Gabriele Svelto, Andrew McCreight, el Mozilla Fuzzing Team, Sean Feng y Sebastian Hengst informaron de fallos de seguridad de memoria presentes en Firefox 113 y Firefox ESR 102.11. Algunos de estos fallos mostraban evidencias de corrupción de memoria y suponemos que con suficiente esfuerzo algunos de ellos podrían haber sido explotados para ejecutar código arbitrario.


CVE-2023-34417:

Los desarrolladores de Mozilla y miembros de la comunidad Andrew McCreight, Randell Jesup y el Mozilla Fuzzing Team informaron de fallos de seguridad de memoria presentes en Firefox 113. Algunos de estos fallos mostraban evidencias de corrupción de memoria y suponemos que con suficiente esfuerzo algunos de ellos podrían haber sido explotados para ejecutar código arbitrario.
 

Versiones afectadas

    • Versiones de Firefox anteriores a 114
    • Versiones de Firefox ESR anteriores a la 102.12

Recomendaciones

    • Actualice a Firefox versión 114
    • Actualice a Firefox ESR versión 102.12

Referencias

 

    https://www.mozilla.org/en-US/security/advisories/mfsa2023-19/
   https://www.mozilla.org/en-US/security/advisories/mfsa2023-20/