Se ha difundido información de vulnerabilidades que afectan al navegador Firefox y el cliente de correo Thunderbird, desarrollados por Mozilla, las cuales llegarían a comprometer la seguridad de los productos y usuarios. Estas vulnerabilidades afectan especialmente a sistemas operativos con distribución de Linux «Ubuntu».
Detalle de vulnerabilidades
- CVE-2023-4057→ Puntaje base CVSS: 9.8 (crítica)
Defectos de seguridad en la memoria han sido detectados en las versiones 115 de Firefox, Firefox ESR 115.0 y Thunderbird 115.0. Algunos de estos errores indicaron indicios de corrupción de memoria y existe la posibilidad de que, con el esfuerzo adecuado, algunos de ellos pudieran haber sido utilizados para ejecutar código de forma arbitraria.
- CVE-2023-5175→ Puntaje base CVSS: 9.8 (crítica)
En la fase de cierre del proceso, era posible crear un «ImageBitmap» que luego se usaba fuera de su contexto original, lo que podía provocar un bloqueo potencialmente explotable. Esta vulnerabilidad afecta a las versiones de Firefox anteriores a la 118.
- CVE-2023-5176 → Puntaje base CVSS: 9.8 (crítica)
Se encontraron vulnerabilidades de memoria en las versiones 117 de Firefox, Firefox ESR 115.2 y Thunderbird 115.2. Estos errores mostraron indicios de corrupción de memoria y podrían haber sido explotados para ejecutar código arbitrario con el esfuerzo necesario.
- CVE-2023-4585 → Puntaje base CVSS: 8.8 (alta)
Se encontraron vulnerabilidades de memoria en las versiones 116 de Firefox, Firefox ESR 115.1 y Thunderbird 115.1. Estos errores mostraron signos de corrupción de memoria y podrían haber sido explotados para ejecutar código arbitrario con suficiente esfuerzo.
- CVE-2023-4583 → Puntaje base CVSS: 7.5 (alta)
Se descubrió una vulnerabilidad en el componente «HttpBaseChannel», al verificar si el contexto de navegación se había eliminado, se asumía que estaba descartado si el grupo de carga no estaba presente. Sin embargo, esto no siempre sucedía para los canales privados después de que terminaba la sesión privada. La vulnerabilidad afecta las versiones anteriores a Firefox 117, Firefox ESR 115.2 y Thunderbird 115.2.
Productos y Versiones afectadas
- Para Ubuntu 20.04 – 23.04: thunderbird anteriores a las versiones 115.3.1
- Firefox: Versiones anteriores a 117.
- Firefox ESR: Versiones anteriores a 115.2.
Solución
- Para Ubuntu 20.04 – 23.04: actualizar thunderbird a las versiones posteriores a 115.3.1
- Firefox: Versiones posteriores a 117.
- Firefox ESR: Versiones posteriores a 115.2.
Recomendación
- Se recomienda implementar las últimas actualizaciones disponibles para así mitigar los riesgos potenciales.
Referencias
- https://ubuntu.com/security/CVE-2023-4057
- https://ubuntu.com/security/CVE-2023-5175
- https://ubuntu.com/security/CVE-2023-5176
- https://ubuntu.com/security/CVE-2023-4585
- https://ubuntu.com/security/CVE-2023-4583
- https://www.cybersecurity-help.cz/vdb/SB2023100324