9VSA-00044-001 CSIRT comparte información sobre actualizaciones en Firefox

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte la información entregada por MOZILLA referente a vulnerabilidades detectadas en Firefox, explorador para navegación en internet, junto a su respectiva actualización para mitigar el riesgo.

Vulnerabilidades

• CVE-2019-11751
• CVE-2019-11746
• CVE-2019-11744
• CVE-2019-11742
• CVE-2019-11736
• CVE-2019-11753
• CVE-2019-11752
• CVE-2019-9812
• CVE-2019-11741
• CVE-2019-11743
• CVE-2019-11748
• CVE-2019-11749
• CVE-2019-5849
• CVE-2019-11750
• CVE-2019-11737
• CVE-2019-11738
• CVE-2019-11747
• CVE-2019-11734
• CVE-2019-11735
• CVE-2019-11740

Impactos

• Ejecución de código malicioso vía consola de comandos
• Manipulación de archivos y escalada de privilegios
• Ataque UXSS a través de addons.mozilla.org y accounts.firefox.com
• Brecha de datos a través de WebRTC
• Liberación de datos a través de Skia Graphics
• Caída a través de una vulnerabilidad de Spidermonkey
• Aplicación de directorios CSP no aplicados correctamente
• Uso malicioso de JS saltando permisos de CSP
• Sitios removidos de la lista precargada de HSTS
• Corrupción de memoria con posibilidad de ejecución de código
• Más información sobre impactos de CVEs en informe 9VSA-00043-001

Productos Afectados

Mozilla Firefox: 66.0.2, 66.0.3, 66.0.4, 66.0.5, 67.0, 67.0.1, 67.0.2, 67.0.3, 67.0.4, 68.0, 68.0.1, 68.0.2

Mitigación

Actualizar a la versión de Firefox 69.

Enlace

https://www.mozilla.org/en-US/security/advisories/mfsa2019-25

https://www.cybersecurity-help.cz/vdb/SB2019090305

 Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA-00044-001