Mozilla ha publicado parches de seguridad para corregir dos vulnerabilidades críticas de día cero en Firefox 124.0.1, y una en Firefox ESR 115.9.1. Se convierte así en el primer proveedor que publica parches para fallos críticos descubiertos durante el Pwn2Own Vancouver 2024.
Un reciente tweet de Zero Day Initiatives confirmó que Manfred Paul ganó 10000 dólares y 10 puntos Master of Pwn en el Pwn2Own 2024, al explotar el fallo Out-of-bounds (OOB) Write para la ejecución remota de código (RCE), y escapar del sandbox de Firefox utilizando una función peligrosa expuesta.
Cabe destacar que Paul encabezó la clasificación con 25 puntos de Master of Pwn en la competición de hacking.
Hablando de la primera vulnerabilidad de seguridad (CVE-2024-29943), Mozilla explicó:
«Un atacante fue capaz de realizar una lectura o escritura fuera de límites en un objeto JavaScript engañando la eliminación de la comprobación de límites basada en rangos«.
Además, Mozilla también habló de la segunda vulnerabilidad (CVE-2024-29944) que afectaba a Firefox en dispositivos de escritorio:
«Un atacante era capaz de inyectar un manejador de eventos en un objeto privilegiado, que permitiría la ejecución arbitraria de JavaScript en el proceso padre. Nota: Esta vulnerabilidad sólo afecta a Firefox de escritorio, no afecta a las versiones móviles de Firefox«.
Mozilla actuó rápidamente ante las vulnerabilidades detectadas y lanzó parches de seguridad para Firefox un día después. Además, también se ha lanzado un parche de seguridad en Firefox ESR 115.9.1 para bloquear los ataques RCE dirigidos a Firefox en dispositivos de escritorio.