8 vulnerabilidades críticas corregidas en Mozilla Firefox

Crítica Alerta 5

Mozilla Firefox ha anunciando la corrección de varias vulnerabilidades en la versión de Firefox 94, entre las que se encuentran 8 vulnerabilidades de riesgo alto.

Detalles

Dichas vulnerabilidades de riesgo alto, han sido clasificadas con los códigos CVE-2021-38503CVE-2021-38504CVE-2021-38505CVE-2021-38506CVE-2021-38507MOZ-2021-0003 y MOZ-2021-0007. A continuación, mostramos el detalle:

  • MOZ-2021-0003: Vulnerabilidad de tipo Cross-Site Scripting (XSS) que afectaba a las versiones de Mozilla Firefox para Android, debido a un fallo de saneamiento de los datos de entrada introducidos en una URL a través de un código QR.
  • MOZ-2021-0007: Corrige múltiples fallos de seguridad relacionados con la corrupción de memoria, los cuales podrían haber sido aprovechados para ejecutar código.
  • CVE-2021-38503: Las reglas definidas en el sandbox iframe no se aplicaban correctamente para las hojas de estilo XSLT, lo que permitía a un atacante saltarse la restricción impuesta por el sandbox para ejecutar código o acceder a información de un frame superior.
  • CVE-2021-38504: Es posible la ejecución de código a través de una vulnerabilidad de tipo ‘use-after-free, durante la interacción con un elemento de entrada HTML de un diálogo del componente ‘webkitdirectory‘.
  • CVE-2021-38505: El servicio ‘Cloud Clipboard‘ de Windows 10 permite almacenar los datos copiados al portapapeles en la nube y hacerlos disponibles a otros usuarios bajo determinados criterios. Aquellas aplicaciones que deseen prevenir la copia de datos del portapapeles en la nube, deben implementar un formato específico de portapapeles. Las versiones de Mozilla Firefox anteriores a la 94 no implementaban dicho formato, pudiendo haber afectado a algún usuario mediante la fuga de información sensible.
  • CVE-2021-38506: Versiones anteriores de Mozilla Firefox 94 permitían habilitar el modo de pantalla completa a través de la navegación, sin notificar o alertar al usuario. Esto podría desencadenar en ataques de tipo phishing, e incluso ataques de suplantación de identidad.
  • CVE-2021-38507: La función de ‘cifrado oportunista‘, introducida con el protocolo HTTP2, permite que una conexión se actualice a TLS conservando las propiedades de la conexión HTTP sin cifrar. Sin embargo, si existía un segundo puerto sin ‘cifrado oportunista‘, un atacante podría reenviar una conexión del navegador a dicho puerto (por ejemplo, del puerto 443), haciendo que el navegador lo tratara como HTTP. Debido a la limitación del uso de este ‘cifrado oportunista‘, se ha optado por deshabilitarlo de forma permanente.

Solución

Desde el Security Operations Center de Infordisa, recomendamos actualizar siempre todo nuestro software, es este caso el navegador Mozilla Firefox a la versión 94, la cual corrige las vulnerabilidades citadas anteriormente, además de otras de menor riesgo.

Es importante verificar que el navegador tenga las actualizaciones automáticas activadas. Para ello, vaya a «Ajustes» (botón superior derecho) y en la sección de «General», en la parte de «Actualizaciones de Firefox», verifique que esté marcada la opción.

Comparte esta alerta de seguridad:

Deja un comentario

Alertas de seguridad

Mantente informado, recíbelas a tu email