8 vulnerabilitats crítiques corregides a Mozilla Firefox

Crítica alerta 5

Mozilla Firefox ha anunciat la correcció de diverses vulnerabilitats a la versió de Firefox 94, entre les que es troben 8 vulnerabilitats de risc alt.

Detalls

Aquestes vulnerabilitats de risc alt, han estat classificades amb els codis CVE-2021-38503CVE-2021-38504CVE-2021-38505CVE-2021-38506CVE-2021-38507MOZ-2021-0003 i MOZ-2021-0007. A continuació, mostrem el detall:

  • MOZ-2021-0003: Vulnerabilitat de tipus Cross-Site Scripting (XSS) que afectava les versions de Mozilla Firefox per a Android, a causa d'un fallada de sanejament de les dades d'entrada introduïts en una URL a través d'un codi QR.
  • MOZ-2021-0007: Corregeix múltiples fallades de seguretat relacionades amb la corrupció de memòria, els quals podrien haver estat aprofitats per executar codi.
  • CVE-2021-38503: Les regles definides al sandbox iframe no s'aplicaven correctament per a les fulles d'estil XSLT, cosa que permetia a un atacant saltar-se la restricció imposada pel sandbox per executar codi o accedir a la informació d'un frame superior.
  • CVE-2021-38504: És possible la execució de codi a través d'una vulnerabilitat de tipus 'use-after-free', durant la interacció amb un element d'entrada HTML d'un diàleg del component 'webkitdirectory'.
  • CVE-2021-38505: El servei 'Cloud Clipboard' de Windows 10 permet emmagatzemar les dades copiades al porta-retalls al núvol i fer-los disponibles a altres usuaris sota determinats criteris. Aquelles aplicacions que vulguin prevenir la còpia de dades del portapapers al núvol, han d'implementar un format específic de porta-retalls. Les versions de Mozilla Firefox anteriors a la 94 no implementaven aquest format, podent haver afectat algun usuari mitjançant la fugida d'informació sensible.
  • CVE-2021-38506: Versions anteriors de Mozilla Firefox 94 permetien habilitar el mode de pantalla completa a través de la navegació, sense notificar o alertar l'usuari. Això podria desencadenar a atacs de tipus phishing, i fins i tot atacs de suplantació d'identitat.
  • CVE-2021-38507: La funció de 'xifrat oportunista', introduïda amb el protocol HTTP2 permet que una connexió s'actualitzi a TLS conservant les propietats de la connexió HTTP sense xifrar. No obstant això, si hi havia un segon port sense 'xifrat oportunista', un atacant podria reenviar una connexió del navegador a aquest port (per exemple, del port 443), fent que el navegador el tractés com a HTTP. A causa de la limitació de l'ús d'aquest 'xifrat oportunista', s'ha optat per deshabilitar-lo de forma permanent.

Solució

Des del Security Operations Center d'Infordisa, recomanem actualitzar sempre tot el nostre programari, és aquest cas el navegador Mozilla Firefox a la versió 94, la qual corregeix les vulnerabilitats citades anteriorment, a més d'altres de menor risc.

És important verificar que el navegador tingui les actualitzacions automàtiques activades. Per fer-ho, aneu a "Ajustos" (botó superior dret) ia la secció de "General", a la part de "Actualitzacions de Firefox", verifiqueu que estigui marcada l'opció.

No hi ha publicacions relacionades.
Rep les alertes de seguretat al teu email:
Comparteix aquesta alerta de seguretat:

Deixa un comentari

Calendari ciberseguretat /24

Demana'l
LIVE WEBINAR | 1/2/2024

Com protegir el teu Active Directory d'atacs Ransomware amb Tenable

Accedeix al workshop

Alertes de seguretat

Estigues informat, rep-les al teu email
Consulta les últimes alertes