Abrir sesión
logo

DEFENSA FRENTE A LAS CIBERAMENAZAS

barra-separadora
Cabecera
separador
Actualizaciones de seguridad para Firefox, Firefox ESR, Firefox para Android y Thunderbird

Fecha de publicación: 23/05/2022
Nivel de peligrosidad: CRÍTICO

Mozilla ha publicado un aviso de seguridad (2022-19) para corregir una serie de vulnerabilidades en sus navegadores web Firefox, Firefox para Android, Firefox ESR (versión con ciclo de asistencia extendido diseñada para servir a grandes entornos empresariales) y el cliente de correo electrónico desarrollado por Mozilla, Thunderbird.

En el aviso publicado se incluyen 2 vulnerabilidades calificadas por el fabricante con una severidad crítica. Estos errores fueron descubiertos por el investigador Manfred Paul a través de la Iniciativa Zero-Day de Trend Micro. Estas vulnerabilidades permiten a un atacante la ejecución remota de código JavaScript en el sistema atacado.

A continuación, se muestran los detalles técnicos de las vulnerabilidades catalogadas como críticas por el fabricante con el CVE correspondiente a cada una y una breve descripción.

CVE

Descripción

CVE-2022-1802

Vulnerabilidad que existe debido a la contaminación de prototipos en la implementación de Top-Level Await. Un atacante remoto puede engañar a la víctima para que visite un sitio web especialmente diseñado, corromper los métodos de un objeto Array en JavaScript a través de la contaminación de prototipos y ejecutar código JavaScript arbitrario en un contexto privilegiado.

CVE-2022-1529

La vulnerabilidad existe debido a la validación insuficiente de la entrada suministrada por el usuario. Un atacante remoto puede engañar a la víctima para que visite una página web especialmente diseñada, provocando duplicidades en el indexado de un objeto JavaScript. Como resultado, un atacante puede realizar una contaminación de prototipos y ejecutar código JavaScript arbitrario con los privilegios del proceso padre.

La base de datos del NIST, por el momento, no ha registrado estas vulnerabilidades, por lo tanto, no se les ha asignado puntuación de acuerdo a la escala CVSSv3. No obstante, Mozilla ha calificado estas vulnerabilidades como críticas. Actualmente no se tiene conocimiento de reportes sobre actividad dañina en la red ni de la disponibilidad de exploits que aprovechen estas vulnerabilidades, así como tampoco, se han publicado pruebas de concepto (PoC) sobre los detalles de los fallos publicados.

Recursos afectados

  • Mozilla Firefox: Versiones anterior a la 100.0.2
  • Mozilla for Android: Versiones anteriores a la 100.3.0
  • Firefox ESR: Versiones anteriores a la 91.9.1
  • Thunderbird: Versiones anteriores a la 91.9.1

Solución a las vulnerabilidades

Desde la compañía se recomienda actualizar a las nuevas versiones de los diferentes productos Mozilla a través de los enlaces que se ofrecen a continuación:

Recomendaciones

Se recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad de la página oficial del fabricante, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Por el momento, no se conocen medidas de mitigación alternativas para estas vulnerabilidades en caso de no ser posible aplicar las actualizaciones descritas.

Referencias

Mozilla Foundation Security Advisory 2022-19

Mozilla corrige dos problemas críticos de seguridad en Firefox y Thunderbird

 
Avisos

Avisos

Información IMPORTANTE sobre vulnerabilidades, con alto nivel de riesgo, que deben ser atendidas con especial prontitud por parte de las organizaciones potencialmente afectadas.

Alertas

Alertas

Información sobre situaciones que requieren atención INMEDIATA por parte de las organizaciones potencialmente afectadas.

Sobre CCN-CERT

Política de privacidad

Aviso de Confidencialidad

El presente mensaje va dirigido de manera exclusiva a su destinatario. Si usted no es el destinatario de este mensaje (o la persona responsable de su entrega), considérese advertido de que lo ha recibido por error, así como de la prohibición legal de realizar cualquier tipo de uso, difusión, reenvío, impresión o copia del mismo. Si ha recibido este mensaje por error, por favor notifíquelo al remitente y proceda a destruirlo inmediatamente.

Síganos en redes sociales:
Twitter Linkedin Youtube Telegram
© 2022 Centro Criptológico Nacional, Argentona 30, 28023 MADRID
Si desea cancelar su suscripción a estos boletines pinche aquí
 
Volver

Este sitio web utiliza cookies propias y de terceros para el correcto funcionamiento y visualización del sitio web por parte del usuario, así como la recogida de estadísticas. Si continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información. Modificar configuración