Se han detectado múltiples vulnerabilidades, incluida una de severidad crítica, en el navegador Firefox y el cliente de correos Thunderbird. Estas vulnerabilidades permitirían la corrupción de la memoria, la ejecución de código arbitrario y ataques de tipo spoofing.
Productos Afectados
Firefox – Versiones anteriores a 133
Firefox ESR – Versiones anteriores a 128.5 y 115.18
Thunderbird – Versiones anteriores a 133 y 128.5
Impacto
La vulnerabilidad de severidad crítica se identifica como:
CVE-2024-11693: Puntuación CVSS 9.8. La advertencia que informa al usuario sobre archivos ejecutables no era mostrada al intentar descargar archivos .library-ms en sistemas Windows, dejando al usuario vulnerable ante posibles ejecutables maliciosos.
Las demás vulnerabilidades se identifican como:
CVE-2024-11691: Puntuación CVSS 8.8, severidad alta. Una vulnerabilidad en la gestión de operaciones WebGL en dispositivos Apple silicon M permitiría a un atacante leer o escribir datos fuera de los límites de memoria.
CVE-2024-11699: Puntuación CVSS 8.8, severidad alta. Una vulnerabilidad en el manejo de memoria permitiría a un atacante corromper datos o ejecutar código arbitrario.
CVE-2024-11692: Puntuación CVSS 6.5, severidad media. La vulnerabilidad permitiría a un atacante suplantar menús dropdown en múltiples pestañas para realizar ataques de tipo spoofing.
CVE-2024-11695: Puntuación CVSS 6.5, severidad media. Un mal manejo del sistema de escritura del idioma Árabe en URLs permitiría a un atacante ocultar el verdadero origen de una página, lo que podría exponer a usuarios a ataques de tipo spoofing.
CVE-2024-11696: Puntuación CVSS 6.5, severidad media. Una vulnerabilidad en el manejo de excepciones para el método “loadManifestFromFile” causaría que el navegador no realice las validaciones de seguridad necesarias para extensiones de terceros.
Recomendación
Actualizar los productos afectados a la última versión disponible desde la web oficial del fabricante.
Referencias
https://www.mozilla.org/en-US/security/advisories/mfsa2024-68
https://www.mozilla.org/en-US/security/advisories/mfsa2024-67
https://www.mozilla.org/en-US/security/advisories/mfsa2024-65
https://www.mozilla.org/en-US/security/advisories/mfsa2024-64
https://www.mozilla.org/en-US/security/advisories/mfsa2024-63
https://www.tenable.com/cve/CVE-2024-11693
https://www.tenable.com/cve/CVE-2024-11691
https://www.tenable.com/cve/CVE-2024-11699
https://www.tenable.com/cve/CVE-2024-11692
https://www.tenable.com/cve/CVE-2024-11695
https://www.tenable.com/cve/CVE-2024-11696