Publicado el por Seguridad CSIRT-CV

Vulnerabilidades Mozilla Firefox, Firefox ERS y Thunderbird

Introducción

Se han descubierto múltiples vulnerabilidades en Mozilla Firefox, Firefox ERS y Thunderbird

Análisis

Mozilla ha emitido un aviso de seguridad donde se tratan 13 vulnerabilidades que afectan al navegador Firefox, Firefox ERS y al cliente de correo electrónico multiplataforma Mozilla Thunderbird. Dentro de estas destacan 4 de severidad alta cuyos identificadores son CVE-2023-37201, CVE-2023-37202, CVE-2023-37211, CVE-2023-37212, que de ser explotadas podrían conducir a condiciones use-after-free y de ejecución arbitraria de código.

      • CVE-2023-3482: Bloquear todas las cookies de bypass para localstorage
      • CVE-2023-37201: Use-after-free en la generación de certificados WebRTC
      • CVE-2023-37202: Posible uso después de la liberación de la falta de coincidencia de compartimento en SpiderMonkey
      • CVE-2023-37203: La API de arrastrar y soltar puede proporcionar acceso a archivos locales del sistema
      • CVE-2023-37204: Notificación de pantalla completa oscurecida a través del elemento de opción
      • CVE-2023-37205: Suplantación de URL en la barra de direcciones utilizando caracteres RTL
      • CVE-2023-37206: Validación insuficiente de enlaces simbólicos en la API FileSystem
      • CVE-2023-37207: Notificación de pantalla completa oscurecida
      • CVE-2023-37208: Falta de advertencia al abrir archivos Diagcab
      • CVE-2023-37209: Use-after-free en `NotifyOnHistoryReload`.
      • CVE-2023-37210: Prevención de salida del modo de pantalla completa
      • CVE-2023-37211: Fallos de seguridad de memoria corregidos en Firefox 115, Firefox ESR 102.13 y Thunderbird 102.13
      • CVE-2023-37212: Memory safety bugs fixed in Firefox 115

VERSIONES AFECTADAS:

      • Mozilla Firefox versiones anteriores a 115.
      • Firefox ESR versiones anteriores a 102.13.
      • Firefox Thunderbird versiones anteriores a 102.13.

Recomendaciones

Para la mitigación de estas vulnerabilidades, se recomienda tener siempre los sistemas y aplicaciones actualizadas a la última versión disponible en cuanto se publiquen las actualizaciones correspondientes.

Para solucionar los problemas mencionados, Mozilla recomienda instalar la versión más reciente de Firefox y Thunderbird.

      • Actualizar Mozilla Firefox a 115.
      • ActualizarFirefox ESR a 102.13.
      • Actualizar Firefox Thunderbird a 102.13.

Referencias

      • https://www.mozilla.org/en-US/security/advisories/mfsa2023-22/
      • https://nvd.nist.gov/vuln/detail/CVE-2023-3482
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37201
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37202
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37203
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37204
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37205
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37206
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37207
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37208
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37209
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37210
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37211