El pasado «Patch Tuesday» la fundación Mozilla publicó su boletín de seguridad en el que se solucionan 12 vulnerabilidades, 4 de ellas consideradas de gravedad alta.
Pasaremos a describir el impacto de las vulnerabilidades más graves:
Dos errores presentes en las versiones Firefox 96 y Firefox ESR 91.5 permitirían a un atacante remoto corromper la memoria y presumiblemente ejecutar código arbitrario (CVE-2022-22764 y CVE-2022-0511).
Otra de las vulnerabilidades, a la que se le ha asignado el código CVE-2022-22753, permitiría a un atacante escalar privilegios aprovechando un error de tipo «Time-of-Check Time-of-Use». En un supuesto escenario, el atacante podría conseguir privilegios de sistema y escribir en un directorio arbitrario. Esta vulnerabilidad solo afecta a sistemas Windows.
También se corrige un salto de restricciones de seguridad que permitiría a una extensión maliciosa instalar una nueva versión de dicha extensión sin mostrar el mensaje de confirmación (CVE-2022-22754).
El resto de vulnerabilidades se consideran de criticidad moderada y permitirián entre otras cosas la ejecución de código Javascript de una pestaña ya cerrada (CVE-2022-22755), la ejecución de código arbitrario manipulando al usuario para que arrastre una imagen a su escritorio u otro directorio (CVE-2022-22756), permitir a una página local maliciosa controlar un navegador con WebDriver activado (CVE-2022-22757), permitir el envío de códigos USSD a través de enlaces ‘tel:’ (CVE-2022-22758), la ejecución de scripts en iframes aislados sin la propiedad «allow-scripts» activa (CVE-2022-22760), o la aplicación incorrecta de políticas de seguridad de contenido en páginas accesibles desde extensiones (CVE-2022-22761).
Se recomienda encarecidamente actualizar cuanto antes a la última versión de Mozilla Firefox que corrige estas vulnerabilidades.
Más información:
Mozilla Foundation Security Advisory 2022-04
Deja una respuesta