Viernes, 04 October 2019 13:28

Cuatro vulnerabilidades en Firefox y Thunderbird

El departamento de Ciberinteligencia de Entelgy Innotec Security avisa de las vulnerabilidades críticas CVE-2019-11734, CVE-2019-11735, CVE-2019-11740 y CVE-2019-11752.

Nivel de Criticidad: Alto

Los propios desarrolladores de Mozilla han notificado errores de seguridad de la memoria. Algunos de estos errores han mostrado evidencias de corrupción de memoria que, a través de diversas técnicas, podrían ser explotados para ejecutar código arbitrario.

La base de datos del NIST ha otorgado a las tres vulnerabilidades una puntuación de 7.5 según la escala CVSSv2. Esto es debido a que los fallos son explotables de forma remota, con una complejidad baja, no es requerida autenticación alguna y un ataque exitoso produciría un impacto parcial. Hasta el momento no se han detectado exploits que permitan a los atacantes aprovechar estas vulnerabilidades.

Vulnerabilidad que permite eliminar un valor de clave IndexedDB y posteriormente intentar extraerlo durante la conversión. Esto da como resultado un "user after free" (memoria que queda disponible al exceder los límites) y provocaría un fallo potencialmente explotable.

La base de datos del NIST ha otorgado a la vulnerabilidad una puntuación de 9.3 según la escala CVSSv2. Esto es debido a que el fallo es explotable de forma remota, con una complejidad media, no es requerida autenticación alguna y un ataque exitoso produciría un impacto completo. Hasta el momento tampoco se han detectado exploits que permitan a posibles atacantes aprovechar esta vulnerabilidad.

Recursos afectados

  • CVE-2019-11734: Todas las versiones de Mozilla Firefox hasta la 69.0 (excluida).
  • CVE-2019-11735: Mozilla Firefox hasta la versión 69.0 (excluida) y Mozilla Firefox ESR hasta la versión 68.1.0 (excluida).
  • CVE-2019-11740 y CVE-2019-11752: Mozilla Firefox hasta la versión 69.0 (excluida), Mozilla Firefox ESR y Mozilla Thunderbird hasta sus versiónes 60.9.0 (excluida), y desde la 68.0 (incluida) hasta la 68.1.0 (excluida).

Solución a la vulnerabilidad

Actualizar a las últimas versiones publicadas por Mozilla:

Recomendaciones

El Equipo de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Por el momento, no se han detectado medidas de mitigación alternativas para solucionar estas vulnerabilidades.

Referencias

Visto 1270 veces

Avda. Llano Castellano, 43
28034 Madrid
+34 917 281 504
innotec.security


InnoTec

Sobre nosotros

InnoTec nace en 2002 como empresa especializada en ciberseguridad, inteligencia, prevención y gestión de riesgos. Actualmente contamos con una plantilla de más de 350 profesionales altamente cualificados en España, y estamos presentes en los principales mercados de Latinoamérica y Estados Unidos.

Ampliar información
Presentación corporativa

Este sitio web utiliza cookies propias y de terceros para el correcto funcionamiento y visualización del sitio web por parte del usuario, así como la recogida de estadísticas. Si continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información consultando nuestra Política de Cookies.