El desarrollador de software Mozilla ha lanzado actualizaciones de seguridad para solucionar varias vulnerabilidades que afectan a sus productos, incluyendo 9 clasificadas como de severidad alta, de severidad media 5 y bajas 1, en los navegadores Firefox y Firefox ESR.
Productos y versiones afectadas:
- Firefox ESR en versiones < 115.10
- Firefox en versiones < 125
- Thunderbird en versiones < 115.10
Las vulnerabilidades descritas a continuación tienen una severidad alta, están identificadas como:
- CVE-2024-3852: El parámetro GetBoundName podría devolver la versión incorrecta de un objeto, luego de que se aplicaron mejoras en el componente JIT.
- CVE-2024-3854: En algunos patrones de código, el componente JIT procesa incorrectamente las declaraciones de cambio, generando código con lecturas fuera de límites.
- CVE-2024-3857: El componente JIT genera código de forma errónea para los argumentos en ciertos casos. Esto provocaría posibles luego de la liberación durante la recolección de basura.
- CVE-2024-3864: Error de seguridad de la memoria presente en Firefox 124, Firefox ESR 115.9 y Thunderbird 115.9. Este error mostró evidencia de corrupción de memoria y suponemos que con suficiente esfuerzo esto podría haberse aprovechado para ejecutar código arbitrario.
- CVE-2024-3853: Vulnerabildiad del tipo user-after-free que podría producirse cuando un dominio que ejecuta JavaScript mientras se encuentra en proceso de inicialización en la ejecución procesos en segundo plano.
- CVE-2024-3855: En ciertos casos, el componente JIT procesa incorrectamente las operaciones de MSubstr, lo que podría provocar lecturas fuera de límites.
- CVE-2024-3856: Vulnerabilidad del tipo user-after-free que podría ocurrir durante la ejecución de WASM si la recolección de procesos en segundo plano se ejecutara durante la creación de un array..
- CVE-2024-3858: Vulnerabilidad que afecta a Firefox, que podría permitir mutar un objeto JavaScript provocando que el componente JIT pudiera fallar mientras lo evalúa.
- CVE-2024-3865: Errores de seguridad de la memoria presentes en Firefox. Algunos de estos errores se encuentran relacionados con eventos de corrupción de memoria, ésta situación podría permitir a un actor malicioso a través de instrucciones especialmente construidas ejecutar código arbitrario en el sistema afectado.
Recomendación:
Se recomienda instalar las últimas actualizaciones de los productos proporcionadas por el desarrollador de software Mozilla en los productos afectados descritos.
Referencia:
- https://www.mozilla.org/en-US/security/advisories/
- https://nvd.nist.gov/vuln/detail/CVE-2024-3853
- https://nvd.nist.gov/vuln/detail/CVE-2024-3852
- https://nvd.nist.gov/vuln/detail/CVE-2024-3854