banner

Noticias

Aug 04, 2023

Firefox 116 parches altos

Firefox 116 se lanzó con parches para 14 CVE, incluidas nueve vulnerabilidades de alta gravedad, algunas de las cuales pueden provocar la ejecución remota de código o escapes de la zona de pruebas.

Por

Flipboard

Reddit

Pinterest

Whatsapp

Whatsapp

Correo electrónico

Mozilla anunció el martes el lanzamiento de Firefox 116, Firefox ESR 115.1 y Firefox ESR 102.14, que incluyen parches para múltiples vulnerabilidades de alta gravedad.

El fabricante de navegadores enumera un total de 14 CVE en su aviso, nueve de los cuales están clasificados como de "alta gravedad". Tres de los CVE se refieren a errores de seguridad de la memoria en Firefox.

La primera de las fallas de alta gravedad, rastreada como CVE-2023-4045, se describe como una omisión de restricciones de origen cruzado en Offscreen Canvas, que no logró rastrear adecuadamente la contaminación de origen cruzado.

El problema puede permitir que las páginas web vean imágenes mostradas en una página de un sitio diferente, señala Sophos en un análisis de la actualización. Los navegadores incluyen una política del mismo origen que evita que el código HTML y JavaScript que se origina en un sitio web acceda al contenido de otros sitios.

El segundo problema de alta gravedad que parchea Firefox 116 es CVE-2023-4046, que se describe como el uso de un valor incorrecto durante la compilación WASM.

“En algunas circunstancias, se podría haber utilizado un valor obsoleto para una variable global en el análisis WASM JIT. Esto resultó en una compilación incorrecta y una falla potencialmente explotable en el proceso de contenido”, señala Mozilla.

La actualización del navegador también resuelve CVE-2023-4047, una omisión de solicitud de permiso mediante clickjacking. Una página podría engañar a los usuarios para que hicieran clic en un elemento cuidadosamente colocado y, en cambio, registrar la entrada como un clic en un cuadro de diálogo de seguridad que no se mostró al usuario.

"Los permisos potencialmente riesgosos, como acceder a su ubicación, enviar notificaciones, activar el micrófono, etc., no deben concederse hasta que haya visto y actuado en función de una advertencia clara del propio navegador", señala Sophos.

Las otras tres vulnerabilidades de alta gravedad que resuelve Firefox 116 incluyen CVE-2023-4048 (una falla de lectura fuera de límites que causa que DOMParser se bloquee al deconstruir un archivo HTML diseñado), CVE-2023-4049 (condiciones de carrera que conducen a vulnerabilidades potencialmente explotables). vulnerabilidades de uso después de la liberación) y CVE-2023-4050 (desbordamiento del búfer de pila en StorageManager que puede provocar un escape de la zona de pruebas).

Rastreados como CVE-2023-4056, CVE-2023-4057 y CVE-2023-4058, los errores de seguridad de la memoria resueltos en Firefox 116 podrían haber llevado a la ejecución de código arbitrario.

La mayoría de estos problemas de alta gravedad, dice Mozilla, también afectan el soporte extendido de Firefox y Thunderbird, y se solucionaron en Firefox ESR 115.1, Firefox ESR 102.14, Thunderbird 115.1 y Thunderbird 102.14.

Mozilla no menciona ninguna de estas vulnerabilidades que se aprovechen en los ataques.

Relacionado:Firefox 115 parchea vulnerabilidades de uso después de la liberación de alta gravedad

Relacionado:Mozilla parchea vulnerabilidades de alta gravedad con el lanzamiento de Firefox 111

Relacionado:Firefox actualiza el parche 10 para vulnerabilidades de alta gravedad

Ionut Arghire es corresponsal internacional de SecurityWeek.

Suscríbase al resumen por correo electrónico de SecurityWeek para mantenerse informado sobre las últimas amenazas, tendencias y tecnologías, junto con columnas interesantes de expertos de la industria.

Únase a los expertos en seguridad mientras analizan el potencial sin explotar de ZTNA para reducir el riesgo cibernético y potenciar el negocio.

Únase a Microsoft y Finite State en un seminario web que presentará una nueva estrategia para proteger la cadena de suministro de software.

Pensar en lo bueno, lo malo y lo feo ahora es un proceso que nos brinda "el enfoque negativo para sobrevivir, pero uno positivo para prosperar". (Marc Solomon)

Compartir información sobre amenazas y cooperar con otros grupos de inteligencia sobre amenazas ayuda a fortalecer las salvaguardas de los clientes y aumenta la eficacia del sector de la ciberseguridad en general. (Derek Manky)

Proteger las API es un viaje noble, aunque complejo. Los equipos de seguridad pueden aprovechar estos 10 pasos para ayudar a proteger sus API. (Joshua Goldfarb)

Si bien los silos plantean peligros importantes para la postura de ciberseguridad de una empresa, la consolidación sirve como una solución poderosa para superar estos riesgos, ofreciendo mayor visibilidad, eficiencia, capacidades de respuesta a incidentes y gestión de riesgos. (Matt Wilson)

La necesidad de ciberresiliencia surge de la creciente comprensión de que las medidas de seguridad tradicionales ya no son suficientes para proteger los sistemas, los datos y la red contra riesgos. (Torsten George)

Flipboard

Reddit

Pinterest

Whatsapp

Whatsapp

Correo electrónico

Menos de una semana después de anunciar que suspendería el servicio indefinidamente debido a un conflicto con un investigador de seguridad (en ese momento) anónimo...

OpenAI confirmó una violación de datos de ChatGPT el mismo día que una empresa de seguridad informó haber visto el uso de un componente afectado por un...

La amenaza a la cadena de suministro está directamente relacionada con la gestión de la superficie de ataque, pero la cadena de suministro debe ser conocida y comprendida antes de que pueda...

La última actualización de Chrome incluye parches para ocho vulnerabilidades, incluidas siete informadas por investigadores externos.

Un grupo de siete investigadores de seguridad ha descubierto numerosas vulnerabilidades en vehículos de 16 fabricantes de automóviles, incluidos errores que les permitían controlar el coche...

Martes de parches: Microsoft advierte que la vulnerabilidad (CVE-2023-23397) podría provocar una explotación antes de que se vea un correo electrónico en el panel de vista previa.

Apple ha lanzado actualizaciones para macOS, iOS y Safari y todas incluyen un parche WebKit para una vulnerabilidad de día cero rastreada como CVE-2023-23529.

Un investigador de IOActive descubrió que los sistemas de seguridad domésticos de SimpliSafe están plagados de una vulnerabilidad que permite a los ladrones expertos en tecnología desactivar de forma remota...

Mozilla anunció el martes el lanzamiento de Firefox 116, Firefox ESR 115.1 y Firefox ESR 102.14, que incluyen parches para múltiples vulnerabilidades de alta gravedad.Relacionado:Relacionado:Relacionado:
COMPARTIR