Miércoles, 11 November 2020 10:49

Vulnerabilidad en Firefox, Firefox ESR y Thunderbird

El CSIRT de Entelgy Innotec Security avisa de la publicación de una vulnerabilidad en Firefox, Firefox ESR y Thunderbird.

Nivel de peligrosidad: CRÍTICO

Mozilla ha publicado un aviso de seguridad para corregir una vulnerabilidad en su navegador web Firefox, Firefox ESR, versión con ciclo de asistencia extendido diseñada para servir a grandes entornos empresariales, y Thunderbird, cliente de correo electrónico multiplataforma de código abierto desarrollado por Mozilla. Dentro de dicho aviso existe una vulnerabilidad calificada con una criticidad crítica por parte de Mozilla. A continuación, se muestra el CVE correspondiente a la vulnerabilidad y una breve descripción de ella. A día de hoy, no se conocen detalles técnicos más concretos sobre esta vulnerabilidad:

  • CVE-2020-26950: Se trata de una vulnerabilidad de tipo use-after-free, es decir, de uso de memoria previamente liberada, en el código de operación McallGetProperty que podría ser aprovechada por un atacante remoto para ejecutar código.

Por el momento, la base de datos del NIST no ha registrado la vulnerabilidad en su base de datos, por lo que no le ha asignado puntuación de acuerdo a la escala CVSSv3. Si bien, la vulnerabilidad ha sido considerada crítica por Mozilla. Actualmente, no se tiene conocimiento de la explotación activa en el ciberespacio, ni de la existencia de exploit que aproveche el fallo.

Recursos afectados:

  • Versiones anteriores a Firefox 0.3.
  • Versiones anteriores a Firefox ESR 4.1.
  • Versiones anteriores a Thunderbird 4.2.

Solución a la vulnerabilidad:

Actualizar a las nuevas versiones de los productos afectados a través de los enlaces que se ofrecen a continuación:

Recomendaciones:

El CSIRT de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Por el momento no se conocen medidas de mitigación alternativas a esta vulnerabilidad en caso de no ser posible aplicar las actualizaciones descritas.

Referencias:

Mozilla Foundation Security Advisory 2020-49

Visto 77 veces

Avda. Llano Castellano, 43
28034 Madrid
+34 917 281 504
innotec.security


InnoTec

Sobre nosotros

InnoTec nace en 2002 como empresa especializada en ciberseguridad, inteligencia, prevención y gestión de riesgos. Actualmente contamos con una plantilla de más de 350 profesionales altamente cualificados en España, y estamos presentes en los principales mercados de Latinoamérica y Estados Unidos.

Ampliar información
Presentación corporativa