9VSA-00043-001 CSIRT comparte actualizaciones para Firefox ESR
CSIRT comparte la información entregada por MOZILLA referente vulnerabilidades detectadas en Firefox ESR
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte la información entregada por MOZILLA referente vulnerabilidades detectadas en Firefox ESR, explorador para navegación en internet, junto con sus respectivas actualizaciones para mitigar el riesgo.
Vulnerabilidad
CVE-2019-11746
Impacto
La vulnerabilidad existe debido a un error "use-after-free". Un atacante remoto puede crear un sitio web especialmente diseñado, engañar a la víctima para que lo visite, activar un error de uso libre y ejecutar código arbitrario en el sistema de destino con privilegios del usuario actual. La explotación exitosa de la vulnerabilidad puede permitir a un atacante comprometer el sistema vulnerable
Productos Afectados
- Firefox ESR: 60.0, 60.0.1, 60.0.2, 60.1.0, 60.2.0, 60.2.1, 60.2.2, 60.3.0, 60.4.0, 60.5.0, 60.5.1, 60.5.2, 60.6.0, 60.6.1, 60.6.2, 60.6.3, 60.7.0, 60.7.1, 60.7.2, 60.8.0
Mitigación
Instalar las actualizaciones indicadas por el fabricante.
- Versión 60.9
Enlace
https://www .mozilla.org/en-US/security/advisories/mfsa2019-25/
https://www.cybersecurity-help.cz/vdb/SB2019090307
Vulnerabilidad
CVE-2019-11744
Impacto
Esta vulnerabilidad permite al atacante remoto realizar ataques XSS utilizando de manera
Indebida los elementos title y textarea con innerHTML
Productos Afectados
- Firefox ESR: 60.0, 60.0.1, 60.0.2, 60.1.0, 60.2.0, 60.2.1, 60.2.2, 60.3.0, 60.4.0, 60.5.0, 60.5.1, 60.5.2, 60.6.0, 60.6.1, 60.6.2, 60.6.3, 60.7.0, 60.7.1, 60.7.2, 60.8.0
Mitigación
Instalar las actualizaciones indicadas por el fabricante.
- Versión 60.9
Enlace
https://www .mozilla.org/en-US/security/advisories/mfsa2019-25/
https://www.cybersecurity-help.cz/vdb/SB2019090307
Vulnerabilidad
CVE-2019-11742
Impacto
Esta vulnerabilidad permite al atacante obtener acceso a información sensible usando una combinación de filtros SVG y <canvas> element, debido a un error de la política “same-origin “, la cual se aplica al contenido de la imagen en caché.
Productos Afectados
- Firefox ESR: 60.0, 60.0.1, 60.0.2, 60.1.0, 60.2.0, 60.2.1, 60.2.2, 60.3.0, 60.4.0, 60.5.0, 60.5.1, 60.5.2, 60.6.0, 60.6.1, 60.6.2, 60.6.3, 60.7.0, 60.7.1, 60.7.2, 60.8.0
Mitigación
Instalar las actualizaciones indicadas por el fabricante.
- Versión 60.9
Enlace
https://www .mozilla.org/en-US/security/advisories/mfsa2019-25/
https://www.cybersecurity-help.cz/vdb/SB2019090307
Vulnerabilidad
CVE-2019-11753
Impacto
Esta vulnerabiliad permite al usuario escalar privilegios modificando durante la instalación de Firefox la ubicación del explorador en otros usuarios. El servicio de mantención de Mozilla no valida correctamente los privilegios de la ubicación y si se realiza una modificación durante esta, se puede lograr escalar privilegios. Nota: esta vulnerabilidad solo es aplicable en Windows, y se requiere acceso local al sistema.
Productos Afectados
- Firefox ESR: 60.0, 60.0.1, 60.0.2, 60.1.0, 60.2.0, 60.2.1, 60.2.2, 60.3.0, 60.4.0, 60.5.0, 60.5.1, 60.5.2, 60.6.0, 60.6.1, 60.6.2, 60.6.3, 60.7.0, 60.7.1, 60.7.2, 60.8.0
Mitigación
Instalar las actualizaciones indicadas por el fabricante.
- Versión 60.9
Enlace
https://www .mozilla.org/en-US/security/advisories/mfsa2019-25/
https://www.cybersecurity-help.cz/vdb/SB2019090307
Vulnerabilidad
CVE-2019-11752
Impacto
Esta vulnerabilidad existe debido a un error en el uso de memoria luego de su liberación al extraer un key value de IndexedDB. El atacante remoto podría usar una página especialmente diseñada para engañar a la víctima para que la visite, gatillar un error de “use-after-free” eliminado el valor y luego extrayéndolo durante la conversión. La explotación de esta vulnerabilidad permite al atacante comprometer al sistema afectado.
Productos Afectados
- Firefox ESR: 60.0, 60.0.1, 60.0.2, 60.1.0, 60.2.0, 60.2.1, 60.2.2, 60.3.0, 60.4.0, 60.5.0, 60.5.1, 60.5.2, 60.6.0, 60.6.1, 60.6.2, 60.6.3, 60.7.0, 60.7.1, 60.7.2, 60.8.0
Mitigación
Instalar las actualizaciones indicadas por el fabricante.
- Versión 60.9
Enlace
https://www .mozilla.org/en-US/security/advisories/mfsa2019-25/
https://www.cybersecurity-help.cz/vdb/SB2019090307
Vulnerabilidad
CVE-2019-9812
Impacto
Esta vulnerabilidad permite al atacante escapar de la Sandbox, utilizando la sincronización de Firefox, cargando accounts[.]firefox[.]com y forzando un log-in a una cuenta de sincronización maliciosa. Configuraciones de esta cuenta desactivarían al sandbox y serían cargadas en el explorador, el cual se reiniciaría sin esta opción.
Productos Afectados
- Firefox ESR: 60.0, 60.0.1, 60.0.2, 60.1.0, 60.2.0, 60.2.1, 60.2.2, 60.3.0, 60.4.0, 60.5.0, 60.5.1, 60.5.2, 60.6.0, 60.6.1, 60.6.2, 60.6.3, 60.7.0, 60.7.1, 60.7.2, 60.8.0
Mitigación
Instalar las actualizaciones indicadas por el fabricante.
- Versión 60.9
Enlace
https://www .mozilla.org/en-US/security/advisories/mfsa2019-25/
https://www.cybersecurity-help.cz/vdb/SB2019090307
Vulnerabilidad
CVE-2019-11743
Impacto
Esta vulnerabilidad permite al atacante obtener acceso a información sensible. La incorrecta implementación del evento “unload” podría permitir al atacante obtener acceso al historial de la víctima a través de una página modificada.
Productos Afectados
- Firefox ESR: 60.0, 60.0.1, 60.0.2, 60.1.0, 60.2.0, 60.2.1, 60.2.2, 60.3.0, 60.4.0, 60.5.0, 60.5.1, 60.5.2, 60.6.0, 60.6.1, 60.6.2, 60.6.3, 60.7.0, 60.7.1, 60.7.2, 60.8.0
Mitigación
Instalar las actualizaciones indicadas por el fabricante.
- Versión 60.9
Enlace
https://www.mozilla.org/en-US/security/advisories/mfsa2019-27/
Vulnerabilidad
CVE-2019-11740
Impacto
Desarrolladores de Mozilla y miembros de la comunidad descubrieron un error en la memoria el cual permite mostrar evidencia de memoria corrupta, y se presume que un atacante podría explotar esta vulnerabilidad con código malicioso. Un ataque exitoso podría permitir al atacante comprometer completamente al sistema.
Productos Afectados
- Firefox ESR: 60.0, 60.0.1, 60.0.2, 60.1.0, 60.2.0, 60.2.1, 60.2.2, 60.3.0, 60.4.0, 60.5.0, 60.5.1, 60.5.2, 60.6.0, 60.6.1, 60.6.2, 60.6.3, 60.7.0, 60.7.1, 60.7.2, 60.8.0
Mitigación
Instalar las actualizaciones indicadas por el fabricante.
- Versión 60.9
- Versión 68.1
Enlace
https://www .mozilla.org/en-US/security/advisories/mfsa2019-25/
https://www.cybersecurity-help.cz/vdb/SB2019090307
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA-00043-001