Numerosas vulnerabilidades en los productos de Mozilla podrían conducir potencialmente a la ejecución de código y la toma de control del sistema. Mozilla parchea fallos de seguridad de alta gravedad en la nueva versión «rápida» de Firefox.
Mozilla ha lanzado parches para 11 vulnerabilidades de seguridad en sus últimas versiones de Firefox y Thunderbird, a cinco de las cuales se les ha asignado una calificación de gravedad «alta».
Las vulnerabilidades afectan a la última versión de Firefox 105 lanzada hace poco. También a Firefox Extended Support Release (ESR) 102.3 y al cliente de correo electrónico de código abierto de Mozilla Thunderbird 91.13.1.
Uno de los errores más graves afecta a los últimos navegadores Firefox 105 y Firefox ESR, lo que podría permitir la ejecución de código.
Mozilla parchea fallos de seguridad de alta gravedad en la nueva versión «rápida» de Firefox
La vulnerabilidad, rastreada como CVE-2022-40962, fue descubierta por el propio Fuzzing Team de Mozilla. Encontró problemas de corrupción de memoria que podrían haberse aprovechado para ejecutar código arbitrario «con suficiente esfuerzo».
No está claro qué podría implicar esto. Sin embargo, la ejecución de código es una de las vulnerabilidades más graves que pueden afectar a un sistema, lo que permite a los atacantes ejecutar una variedad de tareas, como instalar malware, filtrar datos y robar credenciales.
Las mejoras más amplias en el manejo de la memoria fueron una de las características nuevas más destacadas que Mozilla entregó a Firefox con el lanzamiento de la versión 105. Además, también tuvo un aumento general de la velocidad del navegador.
Algunos de los otros problemas de alta gravedad solucionados involucraron un par de vulnerabilidades que afectaban a Firefox 105 debido a que ambas provocaban fallas potencialmente explotables.
En el caso de CVE-2022-3266, podría ocurrir un error de lectura fuera de los límites cuando un usuario intentara decodificar un video codificado con el popular códec de compresión de archivos H.264.
El otro fue un problema de uso después de la liberación. Este podría causar un bloqueo explotable en situaciones en las que el uso simultáneo del analizador de URL del navegador con datos que no son UTF-8 no era seguro para subprocesos. Los datos que no son UTF-8 se refieren a caracteres que no se pueden codificar con el estándar UTF-8 Unicode.
El problema de la ejecución de código
CVE-2022-40959 es una vulnerabilidad en Firefox 105 que provocó la filtración de permisos de dispositivos a documentos que no son de confianza. Esto ocurría cuando páginas específicas no inicializaban su FeaturePolicy durante la navegación iframe.
La falla final de alta gravedad afectó a Thunderbird y podría conducir potencialmente a la ejecución del código JavaScript. Podría explotarse si un usuario respondiera a un correo electrónico especialmente diseñado que contuviera una metaetiqueta que tuviera el atributo ‘http-equiv=”actualizar” y el atributo de contenido especificando una URL. En este escenario, Thunderbird iniciaría una solicitud de red a esa URL y, cuando se combina con otros elementos y atributos HTML, se podría lograr la ejecución del código.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) también emitió una alerta que apunta a los avisos de seguridad para Firefox y Thunderbird. Aconsejaban a los usuarios y administradores de sistemas que apliquen los parches necesarios.