9VSA20-00116-01 CSIRT comparte actualizaciones de Mozilla para Firefox y Firefox ESR

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte información obtenida de Mozilla, referente a una vulnerabilidad que afecta a sus exploradores Firefox y Firefox ESR, la cual, de ser explotada, permitiría a un atacante remoto realizar la ejecución de código remoto sobre el sistema afectado. Esto junto a su respectiva mitigación.

 

Vulnerabilidad

CVE-2019-17026

 

Impacto

Debido a un error de confusión de tipo con los componentes StoreElementHole y FallibleStoreElement al procesar contenido HTML en el compilador IonMonkey JIT, un atacante remoto podría crear una página web especialmente diseñada, engañar a la víctima para que acceda a éste, gatillar el error de confusión de tipo y ejecutar código arbitrario en el sistema víctima, comprometiendo completamente al sistema vulnerable. Este fallo está siendo explotado actualmente y se considera crítico, por lo que se recomienda actualizar urgentemente a la última versión de Firefox.

 

Productos Afectados

Todas las versiones de Firefox entre la 65.0 hasta la 72.0.

Todas las versiones de Firefox ERS entre la 60.0 hasta la 68.4.0.

 

Mitigación

Se deben aplicar las actualizaciones de seguridad publicadas por Mozilla publicadas en los enlaces al final del documento.

Para Firefox se debe actualizar a la versión 72.0.1.

Para Firefox ERS se debe actualizar a la versión 68.4.1.

 

Enlaces

https://www.mozilla.org/en-US/security/advisories/mfsa2020-03/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17026

 

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA20-00116-01