Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a Synthetic Playback Agent (agente que recopila datos de disponibilidad y rendimiento de aplicaciones web internas) de Mozilla Firefox, que permitirían a un atacante realizar ejecución arbitraria de código, denegación de servicios (DoS), entre otros.
Las vulnerabilidades reportadas se componen de 4 (cuatro) de severidad “Alta” y 2 (dos) de severidad “Media”. Algunas de las principales se detallan a continuación:
- CVE-2022-45412, de severidad “Alta” y con puntuación de 8.8. Esta vulnerabilidad se debe a una falla de memoria al resolver un enlace simbólico, tal como file:///proc/self/fd/. Al persuadir a una víctima para que visite dicho enlace simbólico, un atacante podría realizar ejecución arbitraria de código en el sistema afectado. Esta vulnerabilidad solo afecta a Thunderbird en sistemas operativos basados en Unix (Android, Linux, MacOS).
- CVE-2022-45418, de severidad “Alta” y con puntuación de 8.1. Esta vulnerabilidad se produce en determinadas circunstancias al momento de utilizar un cursor de mouse personalizado al posicionarse sobre la interfaz del usuario dentro del navegador, lo que podría generar confusión al usuario. Esto permitiría a un atacante remoto aprovechar dicha confusión y realizar ataques de suplantación de identidad a través de un sitio web especialmente diseñado.
- CVE-2022-45408, de severidad “Alta” y con puntuación de 8.1. Esta vulnerabilidad se debe a una falla de omisión de notificación de pantalla completa a través de una serie de ventanas emergentes (pop-up) que reutilizan el parámetro windowName. Esto permitiría a un atacante causar confusión al usuario o realizar ataques de suplantación de identidad a través de un sitio web especialmente diseñado.
- CVE-2022-45404, de severidad “Alta” y con puntuación de 8.1. Esta vulnerabilidad se debe a una falla en el control de acceso de ventanas emergentes (pop-up), Esto permitiría a un atacante a través del método window.print() hacer que una ventana pase a pantalla completa sin que el usuario vea el mensaje de notificación y causar confusión al mismo o realizar ataques de suplantación de identidad a través de un sitio web especialmente diseñado.
Puede visualizar el listado completo de todas las vulnerabilidades aquí
Las versiones afectadas son:
- Synthetic Playback Agent 8.1.4.0 al 8.1.4 IF16 en (Mozilla Firefox 102.5 ESR y anteriores, Thunderbird 102.5 y anteriores, Firefox 107 y anteriores).
Recomendamos aplicar las actualizaciones correspondientes provistas por el fabricante, mediante los siguientes enlaces:
Referencias:
- https://www.ibm.com/support/pages/node/6849101
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-45412
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-45418
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-45408
- http://www.ibm.com/support/fixcentral/quickorder?product=ibm%2FTivoli%2FIBM+Application+Performance+Management+Advanced&fixids=8.1.4.0-IBM-APM-SYNTHETIC-PLAYBACK-AGENT-IF0017&source=SAR