Vulnerabilidades K2

Contacto

Jueves, 30 Julio 2020 13:28

Vulnerabilidades en Firefox

El CERT de Entelgy Innotec Security, avisa de la publicación de vulnerabilidades en Firefox.

Nivel de peligrosidad: ALTO

Mozilla ha publicado cinco avisos de seguridad para corregir una serie de vulnerabilidades en su navegador web Firefox. Dentro de dichos avisos existen cinco vulnerabilidades calificadas con una criticidad alta por parte de Mozilla. A continuación, se muestra una tabla con el CVE correspondiente a cada vulnerabilidad y una breve descripción de cada una de ellas. A día de hoy no se conocen detalles técnicos más concretos sobre estas vulnerabilidades:

CVE

Criticidad

Impacto

CVE-2020-15652

ALTA

Vulnerabilidad en Firefox que podría permitir a un usuario remoto malintencionado obtener información sensible. El error se debe a una fuga de objetivos de redirección al cargar scripts en un proceso (cross-origin redirect).

CVE-2020-15655

ALTA

Un fallo en Firefox podría permitir a un usuario malintencionado remoto eludir las restricciones de seguridad. Una solicitud HTTP redireccionada a través de una extensión web podría eludir las comprobaciones CORS (Access-Control-Allow-Origin) existentes, lo que conduciría a una posible revelación de información.

CVE-2020-15659 

ALTA

Error de seguridad detectado en la memoria del navegador Firefox 78. Existe una corrupción de memoria que podría explotarse para conseguir una ejecución de código. Según el propio fabricante la explotación de la vulnerabilidad es compleja.

CVE-2020-15662

ALTA

Vulnerabilidad en Firefox que podría permitir a un usuario remoto malintencionado anular desde una página web fraudulenta el script "WKUserScript" que es utilizado por la función de descarga. Esta explotación podría resultar en que el usuario descargara un archivo no deseado. 

CVE-2020-15661

ALTA

Vulnerabilidad en Firefox que podría permitir a un usuario remoto malintencionado anular desde una página web fraudulenta el script "WKUserScript" que es utilizado para el auto-relleno de inicio de sesión. 

 

Por el momento la base de datos del NIST no ha registrado ninguno de estos CVE publicados por Mozilla y tampoco se tiene conocimiento de reportes sobre actividad dañina en la red, ni de la disponibilidad de exploits que aprovechen estas vulnerabilidades. 

Recursos afectados:

  • Mozilla Firefox, versiones anteriores a la 79.
  • Firefox para iOS, versiones anteriores a la 28.
  • Firefox Thunderbird, versiones anteriores a la 78.1.
  • Firefox ESR, versiones anteriores a la 78.1.

Solución a las vulnerabilidades:

Actualizar las versiones vulnerables de Firefox a través de los enlaces que se ofrecen a continuación:

Recomendaciones:

El CERT de Entelgy Innotec Security, recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad o actualizaciones en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Por el momento no se conocen medidas de mitigación alternativas a esta vulnerabilidad en caso de no ser posible aplicar la actualización descrita.

Referencias:

S5 Box