Vulnerabilidades en Mozilla Firefox y Thunderbird

Se han detectado múltiples vulnerabilidades, incluida una de severidad crítica, en el navegador Firefox y el cliente de correos Thunderbird. Estas vulnerabilidades permitirían la corrupción de la memoria, la ejecución de código arbitrario y ataques de tipo spoofing.

Productos Afectados

Firefox – Versiones anteriores a 133

Firefox ESR – Versiones anteriores a 128.5 y 115.18

Thunderbird – Versiones anteriores a 133 y 128.5

Impacto

La vulnerabilidad de severidad crítica se identifica como:

CVE-2024-11693: Puntuación CVSS 9.8. La advertencia que informa al usuario sobre archivos ejecutables no era mostrada al intentar descargar archivos .library-ms en sistemas Windows, dejando al usuario vulnerable ante posibles ejecutables maliciosos.

Las demás vulnerabilidades se identifican como:
CVE-2024-11691: Puntuación CVSS 8.8, severidad alta. Una vulnerabilidad en la gestión de operaciones WebGL en dispositivos Apple silicon M permitiría a un atacante leer o escribir datos fuera de los límites de memoria.

CVE-2024-11699: Puntuación CVSS 8.8, severidad alta. Una vulnerabilidad en el manejo de memoria permitiría a un atacante corromper datos o ejecutar código arbitrario.

CVE-2024-11692: Puntuación CVSS 6.5, severidad media. La vulnerabilidad permitiría a un atacante suplantar menús dropdown en múltiples pestañas para realizar ataques de tipo spoofing.

CVE-2024-11695: Puntuación CVSS 6.5, severidad media. Un mal manejo del sistema de escritura del idioma Árabe en URLs permitiría a un atacante ocultar el verdadero origen de una página, lo que podría exponer a usuarios a ataques de tipo spoofing.

CVE-2024-11696: Puntuación CVSS 6.5, severidad media. Una vulnerabilidad en el manejo de excepciones para el método “loadManifestFromFile” causaría que el navegador no realice las validaciones de seguridad necesarias para extensiones de terceros.

Recomendación

Actualizar los productos afectados a la última versión disponible desde la web oficial del fabricante.

Referencias

https://www.mozilla.org/en-US/security/advisories/mfsa2024-68

https://www.mozilla.org/en-US/security/advisories/mfsa2024-67

https://www.mozilla.org/en-US/security/advisories/mfsa2024-65

https://www.mozilla.org/en-US/security/advisories/mfsa2024-64

https://www.mozilla.org/en-US/security/advisories/mfsa2024-63

https://www.tenable.com/cve/CVE-2024-11693

https://www.tenable.com/cve/CVE-2024-11691

https://www.tenable.com/cve/CVE-2024-11699

https://www.tenable.com/cve/CVE-2024-11692

https://www.tenable.com/cve/CVE-2024-11695

https://www.tenable.com/cve/CVE-2024-11696

Compartir: