9VSA20-00317-01 CSIRT comparte actualizaciones obtenidas de Mozilla

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte la información obtenida de Mozilla referente a una vulnerabilidad que permite acceder a la cuenta de usuario en Mozilla VPN. El presente informe incluye las respectivas medidas de mitigación.

Vulnerabilidad

CVE-2020-15679

MFSA-2020-48

Vulnerabilidad de fijación de sesión OAuth que permite a un atacante utilizar un enlace de conexión especialmente diseñado, para que un usuario de Mozilla VPN acceda a este, ingrese sus credenciales, y estas puedan ser robadas. Este ataque solo podía ser realizado si el atacante y víctima comparten la misma IP de origen y permite ver los estados de sesión y desconectarlas.

Productos Afectados

Mozilla VPN para Android versión 1.1.0.

Mozilla VPN para Windows versiones anteriores a la 1.2.2.

Mozilla VPN para iOS versión 1.0.7

Mitigación

Actualizar a la versión 1.1.0 (1360) de Mozilla VPN para Android.

Actualizar a la versión 1.0.7 (929) de Mozilla VPN para iOS.

Actualizar a la versión 1.2.2 de Mozilla VPN para Windows.

Enlaces

https://www.mozilla.org/en-US/security/advisories/mfsa2020-48/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15679

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA20-00317-01