En el contexto de estas vulnerabilidades críticas, se han identificado dos escenarios potenciales de riesgo en el proceso de compilación de «ion» y en un proceso que implica que el contenido llegue a ser comprometido. Ambos casos pueden llevar a situaciones de seguridad potencialmente explotables. Estas amenazas afectan a versiones anteriores a Firefox 118, Firefox ESR 115.3 y Thunderbird 115.3.
Descripción de las Vulnerabilidades:
La primera vulnerabilidad CVE-2023-5171 con un puntaje CVSS de 6.5, se origina durante la fase de compilación de «ion», donde una recolección de datos no deseados podrían generar una condición de uso tiempo después de la liberación. Esto abriría una brecha de seguridad en la que el atacante pueda introducir dos bytes NUL, causando una condición de bloqueo que podría ser explotada con fines maliciosos.
La segunda vulnerabilidad CVE-2023-5169 con un puntaje CVSS de 6.5, implica que el contenido llegue a ser comprometido, de este modo se introduciría datos maliciosos en un elemento denominado PathRecording. Esto podría resultar en una escritura fuera de los límites del espacio de memoria asignado, lo que a su vez podría provocar una falla en un proceso privilegiado.
Productos afectados:
Se verifican las siguientes versiones de software vulnerable:
– Firefox (versiones anteriores a 118).
– Firefox ESR (versiones anteriores a 115.3).
– Thunderbird (versiones anteriores a 115.3).
Solución:
Se recomienda actualizar a las siguientes versiones de software:
– Firefox (versiones posteriores a 118).
– Firefox ESR (versiones posteriores a 115.3).
– Thunderbird (versiones posteriores a 115.3).
Recomendaciones:
-Actualizar a las versiones más recientes de Firefox, Firefox ESR y Thunderbird para asegurarse de contar con las correcciones de seguridad necesarias.
-Mantenerse informado sobre las actualizaciones y parches de seguridad proporcionados por los proveedores de software, para estar al tanto de las últimas novedades y vulnerabilidades corregidas.
Referencias: