9VSA20-00172-01 CSIRT comparte actualizaciones entregadas por Mozilla

RESUMEN

El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte la información entregada por Mozilla referente a dos vulnerabilidades críticas que afectan a sus productos. El presente informe incluye las respectivas medidas de mitigación.

VULNERABILIDADES

CVE-2020-6819

Impacto

Debido a un error en memoria causado por una condición de carrera ejecutando el destructor “nsDocShell”, un atacante remoto podría crear un sitio web especialmente diseñado, engañar a la víctima para que lo visite y gatillar el error de uso de memoria luego de ser liberada, logrando la ejecución de código arbitrario en el sistema y comprometiéndole.

CVE-2020-6820

Impacto

Debido a un error en memoria causado por una condición de carrera al manejar “ReadableStream”, un atacante remoto podría crear un sitio web especialmente diseñado, engañar a la víctima para que lo visite y gatillar el error de uso de memoria luego de ser liberada, logrando la ejecución de código arbitrario en el sistema y comprometiéndole.

Productos Afectados

Firefox desde la versión 60.0 hasta la versión 74.0.

Firefox ESR desde la versión 60.0 hasta la versión 60.9.0 y desde la versión 68.0 hasta la versión 68.6.0.

Mitigación

Para Firefox, actualizar a la versión 74.0.1.

Para Firefox ESR, actualizar a la versión 68.6.1.

Enlace

https://www.mozilla.org/en-US/security/advisories/mfsa2020-11/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6819

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6820

INFORME

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA20-00172-01