9VSA23-00948-01 CSIRT comparte información de vulnerabilidades parchadas en Firefox 121
El CSIRT de Gobierno comparte información sobre vulnerabilidades que afectan a Firefox y Thunderbird de Mozilla, y que son parchadas en Firefox 121, Firefox ESR 115.6 y Thunderbird 115.6.
Resumen
El CSIRT de Gobierno comparte información sobre vulnerabilidades que afectan a Firefox y Thunderbird de Mozilla, y que son parchadas en Firefox 121, Firefox ESR 115.6 y Thunderbird 115.6.
Vulnerabilidades
Impacto
Vulnerabilidades de riesgo alto:
CVE-2023-6856: Vulnerabilidad provocada por un error de heap buffer overflow en WebGL.
CVE-2023-6135 : Vulnerabilidad provocada por un error en el renderizado de curvas NSS NIST, que puede ser explotada por un ataque Minerva side-channel, que permitiría a los agentes maliciosos recuperar la llave privada de largo plazo.
CVE-2023-6865: Vulnerabilidad provocada por un error que potencialmente expone datos no inicializados en EncryptingOutputStream, lo que podría ser explotado para escribir datos en un disco local, pudiendo impactar el modo de navegación privado.
Mitigación
Actualizar Firefox y Thunderbird:
Firefox: https://www.mozilla.org/es-ES/firefox/all/#product-desktop-release
Firefox ESR: https://www.mozilla.org/en-US/firefox/enterprise/
Thunderbird: https://www.thunderbird.net/en-US/download/
Productos afectados
Firefox 120
Firefox ESR 115.5
Thunderbird 115.5
Enlaces
https://www.mozilla.org/en-US/security/advisories/mfsa2023-56/
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA23-00948-01.