FIREFOX ACTUALIZA CON PARCHES PARA 10 LAS VULNERABILIDADES DE ALTA GRAVEDAD

Mozilla anunció esta semana el lanzamiento de Firefox 110 y Firefox ESR 102.8 con parches para 10 vulnerabilidades de alta gravedad.

Rastreado como CVE-2023-25728, el primero de los defectos de seguridad podría resultar en que un atacante pudiera filtrar el URI no redactado de un iframe secundario, siempre que se active una redirección al interactuar con ese iframe.

Las últimas versiones de Firefox también resuelven una falla relacionada con el secuestro de pantalla a través del modo de pantalla completa del navegador. Rastreado como CVE-2023-25730, el problema existe porque una secuencia de comandos en segundo plano podría invocar el modo de pantalla completa y luego bloquear el hilo principal para forzar el modo indefinidamente.

La explotación exitosa de la vulnerabilidad, explica Mozilla en su aviso , podría resultar en una posible confusión del usuario o ataques de suplantación de identidad.

El fabricante del navegador también resolvió un problema en Firefox Focus, donde las notificaciones de pantalla completa no se mostraban, lo que potencialmente permitía que los sitios web maliciosos falsificaran el navegador Chrome (CVE-2023-25743).

Otro problema resuelto esta semana puede permitir que un atacante elabore un paquete de certificados PKCS 12 para permitir escrituras de memoria arbitrarias a través del mal manejo de los atributos SafeBag de PKCS 12 (CVE-2023-0767).

Mozilla también resolvió una vulnerabilidad en SpiderMonkey (CVE-2023-25735) que podía dar lugar a envoltorios entre compartimentos que provocaban el almacenamiento de objetos de otros compartimentos en el compartimento principal al envolver un proxy con secuencias de comandos.

Rastreado como CVE-2023-25735, el problema desencadenaría un uso después de la liberación después de abrir el proxy, dice Mozilla.

Otras tres vulnerabilidades de alta gravedad resueltas esta semana podrían conducir a un comportamiento indefinido a través de un downcast no válido (CVE-2023-25737), Firefox se bloquea al imprimir en Windows (CVE-2023-25738) o un uso después de libre debido a un control faltante en solicitudes de carga de módulo fallidas (CVE-2023-25739).

Además, Mozilla anunció parches para varios errores de seguridad de la memoria que afectan a Firefox 109 y Firefox ESR 102.7, que se rastrean colectivamente como CVE-2023-25744 y CVE-2023-25745.

Firefox 110 y Firefox ESR 102.8 también llegaron con parches para varias vulnerabilidades de gravedad media y baja.