Vulnerabilidades K2

Contacto

Jueves, 22 Octubre 2020 12:17

Vulnerabilidad en Google Chrome y Firefox

El CSIRT de Entelgy Innotec Security avisa de la publicación de vulnerabilidades altas en los navegadores Google Chrome y Firefox.

Google Chrome, popular software de navegación web, ha lanzado una actualización de seguridad de la versión estable Google Chrome 86 para Windows, Mac y Linux en la que se han introducido correcciones de seguridad que solucionan cinco vulnerabilidades.

A continuación, se describen brevemente las 4 vulnerabilidades catalogadas como altas por Google, ya que, por el momento, se desconocen sus detalles técnicos y aún no han sido registradas en la base de datos del NIST, ni recibido puntuación de acuerdo a la escala CVSSv3:

Por su parte, Mozilla ha publicado dos avisos de seguridad para corregir una serie de vulnerabilidades en su navegador web Firefox y Firefox ESR, versión con ciclo de asistencia extendido diseñada para servir a grandes entornos empresariales. Dentro de dichos avisos existen cuatro vulnerabilidades calificadas con una criticidad alta por parte de Mozilla. A continuación, se muestra una tabla con el CVE correspondiente a cada vulnerabilidad y una breve descripción de cada una de ellas. A día de hoy no se conocen detalles técnicos más concretos sobre estas vulnerabilidades:
Por el momento, la base de datos del NIST no ha registrado ninguno de estos CVE publicados por Mozilla y tampoco se tiene conocimiento de reportes sobre actividad dañina en la red, ni de la disponibilidad de exploits que aprovechen estas vulnerabilidades.

Recursos afectados:

  • Google Chrome:

Todas las versiones anteriores a Google Chrome 86.0.4240.111.

  • Firefox:

Versiones anteriores a Firefox 82

Versiones anteriores a Firefox ESR 78.4

Solución a las vulnerabilidades:

  • Google Chrome

Actualizar a Google Chrome 86.0.4240.111 a través del enlace que se ofrece a continuación: https://www.google.com/intl/es_es/chrome/

Para facilitar la instalación, se recomienda seguir las instrucciones ofrecidas por el fabricante.Por su parte, el equipo de Project Zero de Google ha recomendado a los usuarios que utilizan la librería FreeType fuera de Google Chrome, actualizar a la última versión estable disponible FreeType 2.10.4 a través del siguiente enlace:  https://savannah.nongnu.org/bugs/?59308

  • Firefox

Actualizar a las nuevas versiones de Firefox a través de los enlaces que se ofrecen a continuación:

Firefox 82:  https://www.mozilla.org/es-ES/firefox/new/

Firefox ESR 78.4: https://www.mozilla.org/en-US/firefox/78.4.0/releasenotes/

Recomendaciones:

El CSIRT de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.Por el momento, se desconocen medidas de mitigación alternativas a las propias actualizaciones lanzadas por Google para solucionar estas vulnerabilidades, ni alternativas a las vulnerabilidades de Firefox en caso de no ser posible aplicar las actualizaciones descritas.

Referencias:

CVE

Criticidad

Impacto

CVE-2020-15999

ALTA

Vulnerabilidad de tipo Zero-Day ocasionada por un error de límites en la librería de código abierto FreeType al procesar los archivos con extensión TTF, concretamente en la función Load_SBit_Png encargada de procesar imágenes PNG incrustadas en las fuentes, que podría permitir a un atacante remoto desencadenar un desbordamiento de la memoria dinámica, es decir, un heap buffer overflow, y así llevar a cabo la ejecución de código en el sistema objetivo.

Google ha reportado la explotación activa de la vulnerabilidad en el ciberespacio.

CVE-2020-16000

ALTA

Vulnerabilidad ocasionada por una incorrecta implementación de Blink, el motor de renderización desarrollado por Google, que podría permitir a un atacante comprometer un sistema vulnerable.

CVE-2020-16001

ALTA

Vulnerabilidad de tipo use-after-free, es decir, de uso de memoria previamente liberada, en el componente media que podría permitir a un atacante la ejecución de código en un sistema vulnerable.

CVE-2020-16002

ALTA

Vulnerabilidad de tipo use-after-free, es decir, de uso de memoria previamente liberada, en el componente PDFium que podría permitir a un atacante la ejecución de código en un sistema vulnerable.

CVE

Criticidad

Impacto

CVE-2020-15969

ALTA

Vulnerabilidad de tipo use-after-free, es decir, uso de memoria previamente liberada, en la librería usersctp, diseñada para modificar páginas web, que podría permitir a un atacante ejecutar código en el sistema vulnerable.

CVE-2020-15254

ALTA

Vulnerabilidad de desbordamiento de la memoria buffer ocasionada por un mal manejo de los límites dentro de la función "Vec::from_iter" en crossbeaml, conjunto de herramientas para la programación simultánea, que podría permitir a un atacante provocar daños en la memoria y ejecutar código en el sistema vulnerable.

CVE-2020-15683

ALTA

Vulnerabilidad de desbordamiento de la memoria buffer ocasionada por un mal manejo de los límites al procesar contenido HTML que podría permitir a un atacante llevar a cabo la ejecución de código en los sistemas que ejecuten versiones vulnerables de Firefox y Firefox ESR.

CVE-2020-15684

ALTA

Vulnerabilidad de desbordamiento de la memoria buffer ocasionada por un mal manejo de los límites al procesar contenido HTML que podría permitir a un atacante llevar a cabo la ejecución de código en los sistemas que ejecuten versiones vulnerables de Firefox.

S5 Box