Mozilla ha publicado tres avisos de seguridad para corregir una serie de vulnerabilidades en su navegador web Firefox. Dentro de dichos avisos existen cuatro vulnerabilidades calificadas con una criticidad alta por parte de Mozilla. A continuación, se muestra una tabla con el CVE correspondiente a cada vulnerabilidad y una breve descripción de cada una de ellas. Por el momento, no se conocen detalles técnicos más concretos sobre estas vulnerabilidades:
|
CVE |
Criticidad |
Impacto |
|
CVE-2020-15663 |
ALTA |
Vulnerabilidad de escalada de privilegios en Firefox ejecutado en sistemas operativos Windows. Cuando Firefox se encuentra alojado en un directorio editable por el usuario, existe la posibilidad de ejecutar updater.exe a través del Mozilla Maintenance Service con privilegios de administrador, lo que podría permitir a un atacante la instalación de una versión antigua y, por tanto vulnerable, de Firefox, para llevar a cabo la explotación de estos fallos. |
CVE-2020-15664 |
ALTA |
Un fallo en Firefox podría permitir, manteniendo una referencia a la función "eval" desde una ventana en about:blank, que una página web maliciosa obtuviera acceso al objeto InstallTrigger, lo que le permitiría solicitar al usuario que instale una extensión que podría ser maliciosa. |
CVE-2020-15669 |
ALTA |
Vulnerabilidad en Firefox del tipo user-after-free, es decir, uso de memoria previamente liberada, que podría permitir a un atacante ejecutar código arbitrario debido a un error que se produce cuando se cancela una operación. |
CVE-2020-15669 |
ALTA |
Vulnerabilidad que podría permitir a un posible atacante realizar una corrupción de la memoria e incluso llevar a cabo la ejecución de código arbitrario. |
Por el momento la base de datos del NIST no ha registrado ninguno de estos CVE publicados por Mozilla y tampoco se tiene conocimiento de reportes sobre actividad dañina en la red, ni de la disponibilidad de exploits que aprovechen estas vulnerabilidades.
Por otra parte, se ha publicado una vulnerabilidad en el popular software de navegación Google Chrome, la cual, según ha anunciado el propio fabricante, se corrige con la nueva versión Google Chrome 85 estable para Windows, Mac y Linux cuyo lanzamiento está previsto para el 25 de agosto de 2020, aunque de momento tan solo la versión beta se encuentra disponible.
La vulnerabilidad CVE-2020-6492, de tipo use-after-free, es decir, uso de memoria previamente liberada, reside en el componente WebGL (Librería de Gráficos Web) y está ocasionada por un mal manejo de los objetos en la memoria, lo que podría permitir a una atacante la ejecución de código arbitrario en el contexto del proceso actual.
La base de datos del NIST aún no ha registrado la vulnerabilidad y por tanto esta no ha recibido puntuación en base a la escala CVSSv3, si bien los investigadores que hicieron pública la vulnerabilidad le han asignado una puntuación de 8.3 según esta escala. Aunque hasta la fecha no se conoce actividad dañina en la red, junto con la divulgación del fallo se publicó una Prueba de Concepto (PoC).
Recursos afectados:
Firefox:
- Versiones anteriores a Firefox 80
- Versiones anteriores a Firefox ESR 68.12
- Versiones anteriores a Firefox ESR 78.2
Google Chrome:
- Todas las versiones anteriores a Google Chrome 85.
Solución a las vulnerabilidades:
Actualizar a las nuevas versiones de Firefox a través de los enlaces que se ofrecen a continuación:
- Firefox 80: https://www.mozilla.org/es-ES/firefox/new/
- Firefox ESR 68.12: https://www.mozilla.org/en-US/firefox/68.12.0/releasenotes/
- Firefox ESR 78.2: https://www.mozilla.org/en-US/firefox/78.2.0/releasenotes/
Actualizar a Google Chrome 85 cuando se encuentre disponible, ya que, como se ha reflejado anteriormente, actualmente tan solo se encuentra disponible la versión beta.
Una vez que Google Chrome haya publicado la versión estable, actualizar a través del enlace que se ofrece a continuación:
Para facilitar la instalación, se recomienda seguir las instrucciones ofrecidas por el fabricante.
Recomendaciones:
El CSIRT de Entelgy Innotec Security, recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad o actualizaciones en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
Por el momento no se conocen medidas de mitigación alternativas a estas vulnerabilidades en caso de no ser posible aplicar la actualización descrita.
