Vulnerabilidades K2

Contacto

Viernes, 04 Octubre 2019 13:28

Cuatro vulnerabilidades en Firefox y Thunderbird

El departamento de Ciberinteligencia de Entelgy Innotec Security avisa de las vulnerabilidades críticas CVE-2019-11734, CVE-2019-11735, CVE-2019-11740 y CVE-2019-11752.

Nivel de Criticidad: Alto

Los propios desarrolladores de Mozilla han notificado errores de seguridad de la memoria. Algunos de estos errores han mostrado evidencias de corrupción de memoria que, a través de diversas técnicas, podrían ser explotados para ejecutar código arbitrario.

La base de datos del NIST ha otorgado a las tres vulnerabilidades una puntuación de 7.5 según la escala CVSSv2. Esto es debido a que los fallos son explotables de forma remota, con una complejidad baja, no es requerida autenticación alguna y un ataque exitoso produciría un impacto parcial. Hasta el momento no se han detectado exploits que permitan a los atacantes aprovechar estas vulnerabilidades.

Vulnerabilidad que permite eliminar un valor de clave IndexedDB y posteriormente intentar extraerlo durante la conversión. Esto da como resultado un "user after free" (memoria que queda disponible al exceder los límites) y provocaría un fallo potencialmente explotable.

La base de datos del NIST ha otorgado a la vulnerabilidad una puntuación de 9.3 según la escala CVSSv2. Esto es debido a que el fallo es explotable de forma remota, con una complejidad media, no es requerida autenticación alguna y un ataque exitoso produciría un impacto completo. Hasta el momento tampoco se han detectado exploits que permitan a posibles atacantes aprovechar esta vulnerabilidad.

Recursos afectados

  • CVE-2019-11734: Todas las versiones de Mozilla Firefox hasta la 69.0 (excluida).
  • CVE-2019-11735: Mozilla Firefox hasta la versión 69.0 (excluida) y Mozilla Firefox ESR hasta la versión 68.1.0 (excluida).
  • CVE-2019-11740 y CVE-2019-11752: Mozilla Firefox hasta la versión 69.0 (excluida), Mozilla Firefox ESR y Mozilla Thunderbird hasta sus versiónes 60.9.0 (excluida), y desde la 68.0 (incluida) hasta la 68.1.0 (excluida).

Solución a la vulnerabilidad

Actualizar a las últimas versiones publicadas por Mozilla:

Recomendaciones

El Equipo de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Por el momento, no se han detectado medidas de mitigación alternativas para solucionar estas vulnerabilidades.

Referencias

Comparte

S5 Box