Mozilla ha lanzado actualizaciones de seguridad urgentes para el navegador Firefox (versión 124, Firefox ESR 115.9) y el cliente de correo Thunderbird (versión 115.9), abordando diversas vulnerabilidades que podrían dejar a los usuarios expuestos a ataques graves. Estas fallas incluyen una vulnerabilidad crítica de ejecución remota de código, así como varios errores de alto riesgo que podrían permitir a los atacantes escapar de los sandbox de seguridad, provocar fallas en el sistema, robar datos o manipular configuraciones.
- CVE-2024-2615: Esta vulnerabilidad clasificada como crítica se debe a errores de seguridad de la memoria presentes en Firefox 123. Algunos de estos errores mostraron evidencia de corrupción de la memoria, los cuales con suficiente esfuerzo permiten la ejecución de código arbitrario.
- CVE-2024-2606: Esta vulnerabilidad afecta exclusivamente a Firefox y permite la creación de valores del registro Web Assembly (wasm) inválidos al pasar datos incorrectos, lo que podría causar la conversión de enteros arbitrarios en valores de puntero.
- CVE-2024-2605: Un potencial atacante habría podido aprovechar el Windows Error Reporter para ejecutar código arbitrario en el sistema y así evadir el sandbox. Es importante señalar que esta vulnerabilidad solo afectó a los productos Firefox, Firefox ESR y Thunderbird en los sistemas operativos Windows.
- CVE-2024-2607: Esta vulnerabilidad afecta exclusivamente a los productos Firefox, Firefox ESR y Thunderbird en los sistemas Armv7-A, debido a la sobreescritura de los registros de retorno, esta vulnerabilidad podría permitir a un atacante ejecutar código arbitrario.
- CVE-2024-2608: Esta vulnerabilidad se refiere a posibles desbordamientos de enteros en las funciones AppendEncodedAttributeValue(), ExtraSpaceNeededForAttrEncoding() y AppendEncodedCharacters(). Estos desbordamientos podrían causar una subasignación de un búfer de salida, lo que llevaría a una escritura fuera de límites. Se encontraron afectados los productos Firefox, Firefox ESR y Thunderbird.
- CVE-2024-2614: Esta vulnerabilidad se relaciona con errores de seguridad en la gestión de la memoria presentes en Firefox, Firefox ESR y Thunderbird. Algunos de estos errores mostraron indicios de corrupción de memoria y se presume que, con suficiente esfuerzo y tiempo, algunos de estos podrán ser explotados para ejecutar código arbitrario.
Productos y versiones afectadas
- CVE-2024-2615 y CVE-2024-2606: Todas las versiones de Firefox anteriores a la 124.
- CVE-2024-2605, CVE-2024-2607, CVE-2024-2608 y CVE-2024-2614:
- Firefox: Todas las versiones anteriores a la 124.
- Firefox ESR: Todas las versiones anteriores a la 115.9
- Thunderbird: Todas las versiones anteriores a la 115.9.
Solución
- Mozilla ha emitido varios parches para mitigar las vulnerabilidades encontradas recientemente. Para mitigar el riesgo de explotación los usuarios deberán tomar las siguientes medidas con respecto a los productos afectados:
- Firefox: Actualizar a la versión 124.
- Firefox ESR: Actualizar a la versión 115.9.
- Thunderbird: Actualizar a la versión 115.9.
Recomendaciones
- Aplicar de manera inmediata las actualizaciones proporcionadas por Mozilla para los productos afectados.
- Evitar hacer click en enlaces sospechosos o descargar archivos adjuntos de fuentes desconocidas.
- Actualizar regularmente todo software antivirus y practicar hábitos seguros de navegación para mitigar los riesgos asociados con posibles exploits.
Referencias
Para mayor información sobre la vulnerabilidad descrita, consultar los siguientes enlaces:
- https://securityonline.info/cve-2024-2615-update-firefox-now-zero-click-attacks-possible/?expand_article=1
- https://www.mozilla.org/en-US/security/advisories/mfsa2024-12/
- https://nvd.nist.gov/vuln/detail/CVE-2024-2615
- https://nvd.nist.gov/vuln/detail/CVE-2024-2606
- https://nvd.nist.gov/vuln/detail/CVE-2024-2605
- https://nvd.nist.gov/vuln/detail/CVE-2024-2607
- https://nvd.nist.gov/vuln/detail/CVE-2024-2608
- https://nvd.nist.gov/vuln/detail/CVE-2024-2614