Nivel de peligrosidad: ALTO
Mozilla ha publicado cinco avisos de seguridad para corregir una serie de vulnerabilidades en su navegador web Firefox. Dentro de dichos avisos existen cinco vulnerabilidades calificadas con una criticidad alta por parte de Mozilla. A continuación, se muestra una tabla con el CVE correspondiente a cada vulnerabilidad y una breve descripción de cada una de ellas. A día de hoy no se conocen detalles técnicos más concretos sobre estas vulnerabilidades:
CVE |
Criticidad |
Impacto |
---|---|---|
CVE-2020-15652 |
ALTA |
Vulnerabilidad en Firefox que podría permitir a un usuario remoto malintencionado obtener información sensible. El error se debe a una fuga de objetivos de redirección al cargar scripts en un proceso (cross-origin redirect). |
CVE-2020-15655 |
ALTA |
Un fallo en Firefox podría permitir a un usuario malintencionado remoto eludir las restricciones de seguridad. Una solicitud HTTP redireccionada a través de una extensión web podría eludir las comprobaciones CORS (Access-Control-Allow-Origin) existentes, lo que conduciría a una posible revelación de información. |
CVE-2020-15659 |
ALTA |
Error de seguridad detectado en la memoria del navegador Firefox 78. Existe una corrupción de memoria que podría explotarse para conseguir una ejecución de código. Según el propio fabricante la explotación de la vulnerabilidad es compleja. |
CVE-2020-15662 |
ALTA |
Vulnerabilidad en Firefox que podría permitir a un usuario remoto malintencionado anular desde una página web fraudulenta el script "WKUserScript" que es utilizado por la función de descarga. Esta explotación podría resultar en que el usuario descargara un archivo no deseado. |
CVE-2020-15661 |
ALTA |
Vulnerabilidad en Firefox que podría permitir a un usuario remoto malintencionado anular desde una página web fraudulenta el script "WKUserScript" que es utilizado para el auto-relleno de inicio de sesión. |
Por el momento la base de datos del NIST no ha registrado ninguno de estos CVE publicados por Mozilla y tampoco se tiene conocimiento de reportes sobre actividad dañina en la red, ni de la disponibilidad de exploits que aprovechen estas vulnerabilidades.
Recursos afectados:
- Mozilla Firefox, versiones anteriores a la 79.
- Firefox para iOS, versiones anteriores a la 28.
- Firefox Thunderbird, versiones anteriores a la 78.1.
- Firefox ESR, versiones anteriores a la 78.1.
Solución a las vulnerabilidades:
Actualizar las versiones vulnerables de Firefox a través de los enlaces que se ofrecen a continuación:
- Firefox 79:
- Firefox para iOS 28:
- Firefox Thunderbird 78.1:
- Firefox ESR 78.1:
Recomendaciones:
El CERT de Entelgy Innotec Security, recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad o actualizaciones en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
Por el momento no se conocen medidas de mitigación alternativas a esta vulnerabilidad en caso de no ser posible aplicar la actualización descrita.