Posted on by Seguridad CSIRT-CV

Vulnerabilidades Mozilla Firefox, Firefox ERS y Thunderbird

Introducció

S’han descobert múltiples vulnerabilitats en Mozilla Firefox, Firefox ERS i Thunderbird.

Anàlisi

Mozilla ha emés un avís de seguretat on es tracten 13 vulnerabilitats que afecten el navegador Firefox, Firefox ERS i al client de correu electrònic multiplataforma Mozilla Thunderbird. Dins d’estes destaquen 4 de severitat alta els identificadors de la qual són CVE-2023-37201, CVE-2023-37202, CVE-2023-37211, CVE-2023-37212, que de ser explotades podrien conduir a condicions use-after-free i d’execució arbitrària de codi.

      • CVE-2023-3482: Bloquejar totes les cookies de bypass per a localstorage
      • CVE-2023-37201: Use-after-free en la generació de certificats WebRTC
      • CVE-2023-37202: Possible ús després de l’alliberament de la falta de coincidència de compartiment en SpiderMonkey
      • CVE-2023-37203: L’API d’arrossegar i soltar pot proporcionar accés a arxius locals del sistema
      • CVE-2023-37204: Notificació de pantalla completa enfosquida a través de l’element d’opció
      • CVE-2023-37205: Suplantació d’URL en la barra de direccions utilitzant caràcters RTL
      • CVE-2023-37206: Validació insuficient d’enllaços simbòlics en l’API FileSystem
      • CVE-2023-37207: Notificació de pantalla completa enfosquida
      • CVE-2023-37208: Falta d’advertiment en obrir arxius Diagcab
      • CVE-2023-37209: Use-after-free en `NotifyOnHistoryReload`.
      • CVE-2023-37210: Prevenció d’eixida del mode de pantalla completa
      • CVE-2023-37211: Fallades de seguretat de memòria corregits en Firefox 115, Firefox ESR 102.13 i Thunderbird 102.13
      • CVE-2023-37212: Memory safety bugs fixed in Firefox 115

VERSIONS AFECTADES:

      • Mozilla Firefox versions anteriors a 115.
      • Firefox ESR versions anteriors a 102.13.
      • Firefox Thunderbird versions anteriors a 102.13.

Recomanacions

Per a la mitigació d’estes vulnerabilitats, es recomana tindre sempre els sistemes i aplicacions actualitzades a l’última versió disponible quan es publiquen les actualitzacions corresponents.

Per a solucionar els problemes esmentats, Mozilla recomana instal·lar la versió més recent de Firefox i Thunderbird.

      • Actualitzar Mozilla Firefox a 115.
      • Actualitzar Firefox ESR a 102.13.
      • Actualitzar Firefox Thunderbird a 102.13.

Referències

      • https://www.mozilla.org/en-US/security/advisories/mfsa2023-22/
      • https://nvd.nist.gov/vuln/detail/CVE-2023-3482
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37201
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37202
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37203
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37204
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37205
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37206
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37207
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37208
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37209
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37210
      • https://nvd.nist.gov/vuln/detail/CVE-2023-37211