Miércoles, 11 Noviembre 2020 10:49

Vulnerabilidad en Firefox, Firefox ESR y Thunderbird

El CSIRT de Entelgy Innotec Security avisa de la publicación de una vulnerabilidad en Firefox, Firefox ESR y Thunderbird.

Nivel de peligrosidad: CRÍTICO

Mozilla ha publicado un aviso de seguridad para corregir una vulnerabilidad en su navegador web Firefox, Firefox ESR, versión con ciclo de asistencia extendido diseñada para servir a grandes entornos empresariales, y Thunderbird, cliente de correo electrónico multiplataforma de código abierto desarrollado por Mozilla. Dentro de dicho aviso existe una vulnerabilidad calificada con una criticidad crítica por parte de Mozilla. A continuación, se muestra el CVE correspondiente a la vulnerabilidad y una breve descripción de ella. A día de hoy, no se conocen detalles técnicos más concretos sobre esta vulnerabilidad:

CVE-2020-26950: Se trata de una vulnerabilidad de tipo use-after-free, es decir, de uso de memoria previamente liberada, en el código de operación McallGetProperty que podría ser aprovechada por un atacante remoto para ejecutar código.

Por el momento, la base de datos del NIST no ha registrado la vulnerabilidad en su base de datos, por lo que no le ha asignado puntuación de acuerdo a la escala CVSSv3. Si bien, la vulnerabilidad ha sido considerada crítica por Mozilla. Actualmente, no se tiene conocimiento de la explotación activa en el ciberespacio, ni de la existencia de exploit que aproveche el fallo.

Recursos afectados:

Versiones anteriores a Firefox 0.3.
Versiones anteriores a Firefox ESR 4.1.
Versiones anteriores a Thunderbird 4.2.

Solución a la vulnerabilidad:

Actualizar a las nuevas versiones de los productos afectados a través de los enlaces que se ofrecen a continuación:

Firefox 82.0.3:
- https://www.mozilla.org/es-ES/firefox/new/
Firefox ESR 78.4.1:
- https://www.mozilla.org/en-US/firefox/78.4.1/releasenotes/
Thunderbird 78.4.2:
- https://www.thunderbird.net/es-ES/download/

Recomendaciones:

El CSIRT de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Por el momento no se conocen medidas de mitigación alternativas a esta vulnerabilidad en caso de no ser posible aplicar las actualizaciones descritas.