9VSA23-00910-01 CSIRT comparte información de nuevas vulnerabilidades que fueron parchadas en Firefox, Firefox ESR y Thunderbird
El CSIRT de Gobierno comparte información de nuevas vulnerabilidades que han sido parchadas en Firefox 118.
![9VSA23-00910-01.png](https://media.ciberseguridad.gob.cl/images/9VSA23-00910-01.2e16d0ba.format-jpeg.fill-1200x600.jpg)
Resumen
El CSIRT de Gobierno comparte información de nuevas vulnerabilidades que han sido parchadas en Firefox 118.
Vulnerabilidades
CVE-2023-5168
CVE-2023-5169
CVE-2023-5170
CVE-2023-5171
CVE-2023-5172
CVE-2023-5173
CVE-2023-5174
CVE-2023-5175
CVE-2023-5176
Impacto
Vulnerabilidades de riesgo alto
CVE-2023-5168: Vulnerabilidad que podría resultar en escritura fuera de los límites de la memoria y un crash potencialmente explotable en un proceso privilegiado. Solo afecta a Firefox en Windows.
CVE-2023-5169: Vulnerabilidad que podría resultar en escritura fuera de los límites de la memoria y un crash potencialmente explotable en un proceso privilegiado.
CVE-2023-5170: Vulnerabilidad que podría resultar en un memory leak en un proceso privilegiado. Este memory leak puede ser usado para efectuar un escape de sandbox.
CVE-2023-5171: Durante la compilación Ion, un Garbage Collection podría resultar en una condición use-after-free, permitiendo a un atacante escribir dos bytes NUL, provocando un cash explotable.
CVE-2023-5172: Vulnerabilidad que podría llevar a un crash potencialmente explotable.
CVE-2023-5176: Errores de seguridad de la memoria en Firefox 117, Firefox ESR 115.2 y Thunderbird 115.2 muestran evidencia de corrupción de memoria y la empresa supone que con suficiente esfuerzo podrían ser explotados para ejecutar código arbitrario.
Mitigación
Instalar las respectivas actualizaciones entregadas por el proveedor.
Productos afectados
Mozilla Firefox, Firefox ESR y Thunderbird.
Enlaces
https://www.mozilla.org/en-US/security/advisories/mfsa2023-41/#CVE-2023-5172
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-5168
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-5169
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-5170
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-5171
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-5172
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-5173
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-5174
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-5175
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-5176
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA23-00910-01.