Fecha de publicación: 23/05/2022 Nivel de peligrosidad: CRÍTICO
Mozilla ha publicado un aviso de seguridad (2022-19) para corregir una serie de vulnerabilidades en sus navegadores web Firefox, Firefox para Android, Firefox ESR (versión con ciclo de asistencia extendido diseñada para servir a grandes entornos empresariales) y el cliente de correo electrónico desarrollado por Mozilla, Thunderbird.
En el aviso publicado se incluyen 2 vulnerabilidades calificadas por el fabricante con una severidad crítica. Estos errores fueron descubiertos por el investigador Manfred Paul a través de la Iniciativa Zero-Day de Trend Micro. Estas vulnerabilidades permiten a un atacante la ejecución remota de código JavaScript en el sistema atacado.
A continuación, se muestran los detalles técnicos de las vulnerabilidades catalogadas como críticas por el fabricante con el CVE correspondiente a cada una y una breve descripción.
CVE
|
Descripción
|
CVE-2022-1802
|
Vulnerabilidad que existe debido a la contaminación de prototipos en la implementación de Top-Level Await. Un atacante remoto puede engañar a la víctima para que visite un sitio web especialmente diseñado, corromper los métodos de un objeto Array en JavaScript a través de la contaminación de prototipos y ejecutar código JavaScript arbitrario en un contexto privilegiado.
|
CVE-2022-1529
|
La vulnerabilidad existe debido a la validación insuficiente de la entrada suministrada por el usuario. Un atacante remoto puede engañar a la víctima para que visite una página web especialmente diseñada, provocando duplicidades en el indexado de un objeto JavaScript. Como resultado, un atacante puede realizar una contaminación de prototipos y ejecutar código JavaScript arbitrario con los privilegios del proceso padre.
|
La base de datos del NIST, por el momento, no ha registrado estas vulnerabilidades, por lo tanto, no se les ha asignado puntuación de acuerdo a la escala CVSSv3. No obstante, Mozilla ha calificado estas vulnerabilidades como críticas. Actualmente no se tiene conocimiento de reportes sobre actividad dañina en la red ni de la disponibilidad de exploits que aprovechen estas vulnerabilidades, así como tampoco, se han publicado pruebas de concepto (PoC) sobre los detalles de los fallos publicados.
Recursos afectados
- Mozilla Firefox: Versiones anterior a la 100.0.2
- Mozilla for Android: Versiones anteriores a la 100.3.0
- Firefox ESR: Versiones anteriores a la 91.9.1
- Thunderbird: Versiones anteriores a la 91.9.1
Solución a las vulnerabilidades
Desde la compañía se recomienda actualizar a las nuevas versiones de los diferentes productos Mozilla a través de los enlaces que se ofrecen a continuación:
Recomendaciones
Se recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad de la página oficial del fabricante, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
Por el momento, no se conocen medidas de mitigación alternativas para estas vulnerabilidades en caso de no ser posible aplicar las actualizaciones descritas.
Referencias
Mozilla Foundation Security Advisory 2022-19
Mozilla corrige dos problemas críticos de seguridad en Firefox y Thunderbird
|