La segunda
semana de 2020 ha traído varios boletines de seguridad de Mozilla que corrigen
múltiples vulnerabilidades, entre ellas un ‘zero day’ que está siendo
aprovechado ‘in the wild’.
Los Reyes
Magos de Oriente han llegado este año cargados de boletines de seguridad por
parte de Mozilla y, entre los días 7 y 10 de enero, se han publicado 4
boletines de seguridad para Firefox y Thunderbird: del MFSA 2020-01 al MFSA
2020-04.
Pero antes
de detallar las vulnerabilidades corregidas en ellos, cabe destacar una de
ellas por su criticidad. Se trata de una vulnerabilidad ‘zero day’ identificada
como CVE-2019-17026 que está siendo explotada ‘in the wild’.
Mozilla fue
alertada de este problema mediante un tweet (ya eliminado) por parte de la compañía
china de ciberseguridad Qihoo 360. El fallo de seguridad consiste en una
confusión de tipo en IonMonkey, el compilador JIT (Just-in-Time) del motor
Javascript SpiderMonkey, relacionada con elementos ‘StoreElementHole’ y
‘FallibleStoreElement’ que podría permitir que un atacante se hiciese con el
control del equipo afectado. Esta vulnerabilidad, descrita en los boletines
MFSA 2020-03 y MFSA 2020-04, afecta tanto al navegador Mozilla Firefox como al
gestor de correo Thunderbird.
En el resto
de boletines se solucionan otras fallas de seguridad. Aquellas catalogadas como
de alto impacto se detallan a continuación:
*
CVE-2019-17015: una corrupción de memoria en el proceso padre durante la
inicialización del nuevo proceso de contenido debido a la posibilidad de
manipular un puntero. Este fallo que podría ser explotado para ejecutar código
arbitrario, solo afecta a las versiones para Windows.
*
CVE-2019-17016: un problema relacionado con la comprobación de código CSS al
pegar una etiqueta <style> desde el portapapeles que podría
causar la inyección y filtración de datos en determinados sitios web.
*
CVE-2019-17017: una confusión de tipos en XPCVariant.cpp que podría ser
explotado para ejecutar código arbitrario.
*
CVE-2019-17024 y CVE-2019-17025: diversos errores de seguridad relacionados con
la memoria que podrían ser explotado para ejecutar código arbitrario.
Existen
otras 6 vulnerabilidades catalogadas como de impacto moderado o bajo cuyos
identificadores se encuentran comprendidos entre el CVE-2019-17018 y
CVE-2019-17023. Para una mayor información se recomienda consultar los
boletines de Mozilla.
Todos los
anteriores problemas de seguridad se han corregido con el lanzamiento de
Firefox 72.0.1, Firefox ESR 68.4.1, y Thunderbird 68.4.1. Desde Hispasec
recomendamos encarecidamente a los usuarios que actualicen sus instalaciones.
Más
información:
- Mozilla Foundation Security Advisories https://www.mozilla.org/en-US/security/advisories/
- MFSA 2020-01Security Vulnerabilities fixed in Firefox 72 https://www.mozilla.org/en-US/security/advisories/mfsa2020-01/
- MFSA 2020-02Security Vulnerabilities fixed in Firefox ESR 68.4 https://www.mozilla.org/en-US/security/advisories/mfsa2020-02/
- MFSA 2020-03Security Vulnerabilities fixed in Firefox 72.0.1 and Firefox ESR 68.4.1 https://www.mozilla.org/en-US/security/advisories/mfsa2020-03/
- MFSA 2020-04Security Vulnerabilities fixed in Thunderbird 68.4.1 https://www.mozilla.org/en-US/security/advisories/mfsa2020-04/