Actualidad

Contacto

Martes, 26 Marzo 2019 13:56

Mozilla Firefox publica dos parches para solucionar dos vulnerabilidades críticas

Entelgy Innotec CERT informa de la publicación por parte de Mozilla de dos actualizaciones para las vulnerabilidades críticas CVE-2019-9810 y CVE-2019-9813 que afectan a la versión 66.0 de Firefox y anteriores.

El pasado 23 de marzo la compañía Mozilla lanzó la versión 66.01 de su navegador Firefox con el objetivo de corregir los dos fallos de seguridad críticos halladas en la v66.0 y en todas las versiones anteriores. Las vulnerabilidades son las siguientes:

Esta vulnerabilidad consiste en un problema de sobrecarga del buffer y un fallo de comprobación de límites, ausente en Firefox 66, debido a información de alias incorrecta en el compilador JIT IonMonkey para el método Array.prototype.slice.

Se trata de un problema de “confusión de escritura” en el mismo IonMonkey JIT, pero esta vez en el código. Este fallo podría permitir que un usuario malintencionado leyera y escribiera memoria arbitraria, lo que era (y aún es posible en la v66) posible debido a una gestión incorrecta de of__proto__mutations.

La corrección de este fallo de seguridad se realiza mediante la actualización a Firefox v66.01, versión ya lanzada por la compañía y disponible para los usuarios.

Recursos afectados

  • Firefox 66.0 y todas las versiones anteriores

Medidas de mitigación

El CERT de Entelgy Innotec Security recomienda mantener siempre los sistemas actualizados con las últimas revisiones de seguridad. Si bien los usuarios de Firefox deberían recibir las actualizaciones automáticamente (si esta opción está activada) estas también se encuentran disponibles como descargas independientes desde el sitio web oficial de Mozilla:

Referencias

S5 Box