Contáctanos al
1510
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte información obtenida de Mozilla, referente a una vulnerabilidad que afecta a sus exploradores Firefox y Firefox ESR, la cual, de ser explotada, permitiría a un atacante remoto realizar la ejecución de código remoto sobre el sistema afectado. Esto junto a su respectiva mitigación.
Vulnerabilidad
CVE-2019-17026
Impacto
Debido a un error de confusión de tipo con los componentes StoreElementHole y FallibleStoreElement al procesar contenido HTML en el compilador IonMonkey JIT, un atacante remoto podría crear una página web especialmente diseñada, engañar a la víctima para que acceda a éste, gatillar el error de confusión de tipo y ejecutar código arbitrario en el sistema víctima, comprometiendo completamente al sistema vulnerable. Este fallo está siendo explotado actualmente y se considera crítico, por lo que se recomienda actualizar urgentemente a la última versión de Firefox.
Productos Afectados
Todas las versiones de Firefox entre la 65.0 hasta la 72.0.
Todas las versiones de Firefox ERS entre la 60.0 hasta la 68.4.0.
Mitigación
Se deben aplicar las actualizaciones de seguridad publicadas por Mozilla publicadas en los enlaces al final del documento.
Para Firefox se debe actualizar a la versión 72.0.1.
Para Firefox ERS se debe actualizar a la versión 68.4.1.
Enlaces
https://www.mozilla.org/en-US/security/advisories/mfsa2020-03/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17026
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA20-00116-01