9VSA20-00323-01 CSIRT comparte vulnerabilidades que afectan a Mozilla Firefox

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte la información obtenida Mozilla respecto a múltiples vulnerabilidades que afectan al explorador web Mozilla Firefox y al cliente de correo Thunderbird. El presente informe incluye las respectivas medidas de mitigación.

Vulnerabilidades

CVE-2020-26951

CVE-2020-26952

CVE-2020-16012

CVE-2020-26953

CVE-2020-26954

CVE-2020-26955

CVE-2020-26956

CVE-2020-26957

CVE-2020-26958

CVE-2020-26959

CVE-2020-26960

CVE-2020-15999

CVE-2020-26961

CVE-2020-26962

CVE-2020-26963

CVE-2020-26964

CVE-2020-26965

CVE-2020-26966

CVE-2020-26967

CVE-2020-26968

CVE-2020-26969

MFSA-2020-50

CVE-2020-26951: Una discrepancia entre la carga de evento y el formato en el código SVG de Firefox podría haber permitido que se activaran los eventos de carga, aun después de la sanitización. Un atacante que sea capaz de explotar una vulnerabilidad XSS en páginas internas privilegiadas, podría usar este ataque para evadir el sanitizador integrado.

Impacto: Alto

CVE-2020-26952: El recuento incorrecto de las funciones en línea durante la compilacion JIT, podría haber llevado a la corrupción de memoria y a un fallo potencialmente explotable al manejar errores de sin-memoria.

Impacto: Alto

CVE-2020-16012: Al dibujar una imagen transparente sobre una imagen de origen cruzado desconocida, la función «drawImage» de la librería gráfica Skia se tomaba un tiempo variable dependiendo del contexto de la imagen de abajo. El resultado podía ser una potencial exposición de información de origen cruzado del contenido de la imagen a través de un ataque de canal lateral cronometrado.

Impacto: Moderado

CVE-2020-26953: Era posible causar que el explorador entrara en modo pantalla completa sin mostrar la interfaz de usuario de seguridad, haciendo posible realizar ataques phishing o confundir al usuario.

Impacto: Moderado

CVE-2020-26954: Al aceptar un intent malicioso de otras aplicaciones instaladas, Firefox para Android aceptaba manifiestos de rutas de archivo arbitrarias y permitía declarar manifiestos de aplicaciones web para otros orígenes. Esto podía ser usado para obtener acceso al modo pantalla completa para suplantar la interfaz de usuario, y también podía llevar a ataques de origen cruzado en sitios objetivos. Nota: Esta vulnerabilidad solamente afecta al sistema operativo Android.

Impacto: Moderado

CVE-2020-26955: Cuando un usuario descarga un archivo en Firefox para Android, si se deja una cookie, esta iba a es reenviada durante la operación de descarga del archivo subsecuente en el mismo dominio, independiente de si la descarga original o subsecuente eran hechas en modo privado o no del explorador. Nota: Esta vulnerabilidad solamente afecta al sistema operativo Android.

Impacto: Moderado

CVE-2020-26956: En algunos casos, remover elementos HTML durante la sanitización podía mantener la existencia de manejadores de eventos SVG, los cuales podían llevar a ataques Cross-site Scripting (XSS) a través de la función pegar (manual y API portapapeles).

Impacto: Moderado

CVE-2020-26957: «OneCRL» no era funcional en el nuevo Firefox par aAndroid debido a la ausencia de un servicio de inicialización. Esto podía resultar en una falla en hacer cumplir la revocación de algunos certificados. Nota: Esta vulnerabilidad solamente afecta al sistema operativo Android.

Impacto: Moderado

CVE-2020-26958: Firefox no bloqueaba la ejecución de scripts con tipos MIME incorrectos cuando la respuesta era interceptada y cacheada a través de un «ServiceWorker». Esto podía llevar a la inclusión de una vulnerabilidad Cross-site Scripting (XSS) o una evasión de la política de seguridad de contenidos (CSP).

Impacto: Moderado

CVE-2020-26959: Durante la apagada del explorador, la decrementación de referencia podría haber sucedido en un objeto previamente liberado, resultando en el uso de memoria después de ser liberada, corrupción de memoria y un fallo potencialmente explotable.

Impacto: Moderado

CVE-2020-26960: Si el método «Compact()» era llamado en un «nsTArray», el arreglo podría haber sido realocado sin actualizar otros punteros, llevando a un potencial uso de memoria después de ser liberada y un fallo explotable.

Impacto: Moderado

CVE-2020-15999: En Freetype, si las imágenes PNG eran embebidas en fuentes, la función «Load_SBit_Png» contendía un desbordamiento de entero que llevaba a un desbordamiento del buffer en la pila, corrupción de memoria y un fallo potencialmente explotable. Nota: Solamente afecta a Linux y Android, y las condiciones para explotar la vulnerabilidad son difíciles.

Impacto: Moderado

CVE-2020-26961: Cuando se utiliza DNS en el protocolo HTTPs, intencionalmente se filtran rangos de IP RFC1918 y relacionados de las respuestas, ya que no tiene sentido que vengan de un resolutor DoH. Sin embargo, cuando una dirección IPv4 era mapeada a través de IPv6, las direcciones eran erróneamente permitidas, llevando a un potencial ataque de reencuentro de DNS.

Impacto: Moderado

CVE-2020-26962: Elementos «iframe» de origen cruzado que contenían formularios de conexión podrían haber sido reconocidos por el servicio de autocompletado, rellenando con las credenciales. Esto podría haber llevado a posibles ataques clickjacking, como también leerse en particiones de asilamiento primario dinámico asolado.

Impacto: Bajo

CVE-2020-26963: Repetidas llamadas a las interfaces de historial y ubicación podrían haber sido usadas para dejar colgado al explorador. Esta vulnerabilidad fue arreglada introduciendo un límite de llamada a las APIs.

Impacto: Bajo

CVE-2020-26964:

Si la función de debugging remoto vía USB estaba habilitada en Firefox para Android en una versión de Android menor a la 6.0, aplicaciones no confiables podrían haberse conectado a la función para operar bajo los privilegios del explorador y leer e interactuar con los contenidos web. La característica fue implementada como un socket de dominio Unix, protegida por la política Android SELinux; sin embargo, SELinux no era enforzado en versiones anteriores a la 6.0. Nota: Esta vulnerabilidad solo afecta a Firefox para Android.

Impacto: Bajo

CVE-2020-26965: Algunos sitios tienen la característica «Mostrar contraseña» en donde al pinchar un botón, el campo contraseña se cambiará a texto plano, revelando la contraseña escrita. Si, al usar un programa de teclado que recuerde datos ingresados, el usuario escribe su contraseña y luego aprieta en mostrar contraseña, el campo era cambiado a texto plano, resultando en la posibilidad de que la aplicación de teclado recuerde la contraseña aun cuando fue escrita bajo el tipo de campo «contraseña».

Impacto: Bajo

CVE-2020-26966: Realizar una búsqueda de una sola palabra en la barra de direcciones causaba el envío una petición mDNS a través de la red local, en busca del hostname que tenga esa palabra, resultando en una filtración de información. Nota: Esta vulnerabilidad solo afecta al sistema operativo Windows.

Impacto: Bajo

CVE-2020-26967: Al estar a la escucha por cambios en la página con «Mutation Observer», una página web maliciosa podría confundir a las capturas de pantalla de Firefox para que interactúen con otros elementos además que los que fueron inyectados en el sitio. Esto podría llevar a errores internos y comportamientos no esperados en el código de las capturas de pantalla.

Impacto: Bajo

CVE-2020-26968: Errores en memoria encontrados en Firefox y Firefox ESR. Algunos de estos mostraban evidencia de corrupción de memoria, y Mozilla presume que con algún esfuerzo estas vulnerabilidades podrían haber sido explotadas para la ejecución de código remoto.

Impacto: Alto.

CVE-2020-26969: Errores en memoria encontrados en Firefox. Algunos de estos mostraban evidencia de corrupción de memoria, y Mozilla presume que con algún esfuerzo estas vulnerabilidades podrían haber sido explotadas para la ejecución de código remoto.

Impacto: Alto.

Productos Afectados

La vulnerabilidad afecta al explorador web Firefox Mozilla versiones anteriores a la 83.

Mitigación

La vulnerabilidad fue mitigada en la versión 83 de Firefox Mozilla.

Enlaces

https://www.mozilla.org/en-US/security/advisories/mfsa2020-50/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26951

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26952

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-16012

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26953

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26954

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26955

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26956

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26957

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26958

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26959

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26960

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15999

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26961

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26962

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26963

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26964

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26965

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26966

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26967

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26968

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26969

MFSA-2020-51

CVE-2020-26951: Una discrepancia entre la carga de evento y el formato en el código SVG de Firefox podría haber permitido que se activaran los eventos de carga, aun después de la sanitización. Un atacante que sea capaz de explotar una vulnerabilidad XSS en páginas internas privilegiadas, podría usar este ataque para evadir el sanitizador integrado.

Impacto: Alto

CVE-2020-16012: Al dibujar una imagen transparente sobre una imagen de origen cruzado desconocida, la función «drawImage» de la librería gráfica Skia se tomaba un tiempo variable dependiendo del contexto de la imagen de abajo. El resultado podía ser una potencial exposición de información de origen cruzado del contenido de la imagen a través de un ataque de canal lateral cronometrado.

Impacto: Moderado

CVE-2020-26953: Era posible causar que el explorador entrara en modo pantalla completa sin mostrar la interfaz de usuario de seguridad, haciendo posible realizar ataques phishing o confundir al usuario.

Impacto: Moderado

CVE-2020-26956: En algunos casos, remover elementos HTML durante la sanitización podía mantener la existencia de manejadores de eventos SVG, los cuales podían llevar a ataques Cross-site Scripting (XSS) a través de la función pegar (manual y API portapapeles).

Impacto: Moderado

CVE-2020-26958: Firefox no bloqueaba la ejecución de scripts con tipos MIME incorrectos cuando la respuesta era interceptada y cacheada a través de un «ServiceWorker». Esto podía llevar a la inclusión de una vulnerabilidad Cross-site Scripting (XSS) o una evasión de la política de seguridad de contenidos (CSP).

Impacto: Moderado

CVE-2020-26959: Durante la apagada del explorador, la decrementación de referencia podría haber sucedido en un objeto previamente liberado, resultando en el uso de memoria después de ser liberada, corrupción de memoria y un fallo potencialmente explotable.

Impacto: Moderado

CVE-2020-26960: Si el método «Compact()» era llamado en un «nsTArray», el arreglo podría haber sido realocado sin actualizar otros punteros, llevando a un potencial uso de memoria después de ser liberada y un fallo explotable.

Impacto: Moderado

CVE-2020-15999: En Freetype, si las imágenes PNG eran embebidas en fuentes, la función «Load_SBit_Png» contendía un desbordamiento de entero que llevaba a un desbordamiento del buffer en la pila, corrupción de memoria y un fallo potencialmente explotable. Nota: Solamente afecta a Linux y Android, y las condiciones para explotar la vulnerabilidad son difíciles.

Impacto: Moderado

CVE-2020-26961: Cuando se utiliza DNS en el protocolo HTTPs, intencionalmente se filtran rangos de IP RFC1918 y relacionados de las respuestas, ya que no tiene sentido que vengan de un resolutor DoH. Sin embargo, cuando una dirección IPv4 era mapeada a través de IPv6, las direcciones eran erróneamente permitidas, llevando a un potencial ataque de reencuentro de DNS.

Impacto: Moderado

CVE-2020-26965: Algunos sitios tienen la característica «Mostrar contraseña» en donde al pinchar un botón, el campo contraseña se cambiará a texto plano, revelando la contraseña escrita. Si, al usar un programa de teclado que recuerde datos ingresados, el usuario escribe su contraseña y luego aprieta en mostrar contraseña, el campo era cambiado a texto plano, resultando en la posibilidad de que la aplicación de teclado recuerde la contraseña aun cuando fue escrita bajo el tipo de campo «contraseña».

Impacto: Bajo

CVE-2020-26966: Realizar una búsqueda de una sola palabra en la barra de direcciones causaba el envío una petición mDNS a través de la red local, en busca del hostname que tenga esa palabra, resultando en una filtración de información. Nota: Esta vulnerabilidad solo afecta al sistema operativo Windows.

Impacto: Bajo

CVE-2020-26968: Errores en memoria encontrados en Firefox y Firefox ESR. Algunos de estos mostraban evidencia de corrupción de memoria, y Mozilla presume que con algún esfuerzo estas vulnerabilidades podrían haber sido explotadas para la ejecución de código remoto.

Impacto: Alto.

Productos Afectados

La vulnerabilidad afecta al explorador web Firefox Mozilla ESR versiones anteriores a la 78.5.

Mitigación

La vulnerabilidad fue mitigada en la versión 78.5 de Firefox Mozilla ESR.

Enlaces

https://www.mozilla.org/en-US/security/advisories/mfsa2020-51/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26951

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-16012

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26953

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26956

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26958

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26959

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26960

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15999

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26961

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26965

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26966

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26968

MFSA-2020-52

CVE-2020-26951: Una discrepancia entre la carga de evento y el formato en el código SVG de Thunderbird podría haber permitido que se activaran los eventos de carga, aun después de la sanitización. Un atacante que sea capaz de explotar una vulnerabilidad XSS en páginas internas privilegiadas, podría usar este ataque para evadir el sanitizador integrado.

Impacto: Alto

CVE-2020-16012: Al dibujar una imagen transparente sobre una imagen de origen cruzado desconocida, la función «drawImage» de la librería gráfica Skia se tomaba un tiempo variable dependiendo del contexto de la imagen de abajo. El resultado podía ser una potencial exposición de información de origen cruzado del contenido de la imagen a través de un ataque de canal lateral cronometrado.

Impacto: Moderado

CVE-2020-26953: Era posible causar que el explorador entrara en modo pantalla completa sin mostrar la interfaz de usuario de seguridad, haciendo posible realizar ataques phishing o confundir al usuario.

Impacto: Moderado

CVE-2020-26956: En algunos casos, remover elementos HTML durante la sanitización podía mantener la existencia de manejadores de eventos SVG, los cuales podían llevar a ataques Cross-site Scripting (XSS) a través de la función pegar (manual y API portapapeles).

Impacto: Moderado

CVE-2020-26958: Thuderbird no bloqueaba la ejecución de scripts con tipos MIME incorrectos cuando la respuesta era interceptada y cacheada a través de un «ServiceWorker». Esto podía llevar a la inclusión de una vulnerabilidad Cross-site Scripting (XSS) o una evasión de la política de seguridad de contenidos (CSP).

Impacto: Moderado

CVE-2020-26959: Durante la apagada del explorador, la decrementación de referencia podría haber sucedido en un objeto previamente liberado, resultando en el uso de memoria después de ser liberada, corrupción de memoria y un fallo potencialmente explotable.

Impacto: Moderado

CVE-2020-26960: Si el método «Compact()» era llamado en un «nsTArray», el arreglo podría haber sido realocado sin actualizar otros punteros, llevando a un potencial uso de memoria después de ser liberada y un fallo explotable.

Impacto: Moderado

CVE-2020-15999: En Freetype, si las imágenes PNG eran embebidas en fuentes, la función «Load_SBit_Png» contendía un desbordamiento de entero que llevaba a un desbordamiento del buffer en la pila, corrupción de memoria y un fallo potencialmente explotable. Nota: Solamente afecta a Linux y Android, y las condiciones para explotar la vulnerabilidad son difíciles.

Impacto: Moderado

CVE-2020-26961: Cuando se utiliza DNS en el protocolo HTTPs, intencionalmente se filtran rangos de IP RFC1918 y relacionados de las respuestas, ya que no tiene sentido que vengan de un resolutor DoH. Sin embargo, cuando una dirección IPv4 era mapeada a través de IPv6, las direcciones eran erróneamente permitidas, llevando a un potencial ataque de reencuentro de DNS.

Impacto: Moderado

CVE-2020-26965: Algunos sitios tienen la característica «Mostrar contraseña» en donde al pinchar un botón, el campo contraseña se cambiará a texto plano, revelando la contraseña escrita. Si, al usar un programa de teclado que recuerde datos ingresados, el usuario escribe su contraseña y luego aprieta en mostrar contraseña, el campo era cambiado a texto plano, resultando en la posibilidad de que la aplicación de teclado recuerde la contraseña aun cuando fue escrita bajo el tipo de campo «contraseña».

Impacto: Bajo

CVE-2020-26966: Realizar una búsqueda de una sola palabra en la barra de direcciones causaba el envío una petición mDNS a través de la red local, en busca del hostname que tenga esa palabra, resultando en una filtración de información. Nota: Esta vulnerabilidad solo afecta al sistema operativo Windows.

Impacto: Bajo

CVE-2020-26968: Errores en memoria encontrados en Mozilla Thunderbird. Algunos de estos mostraban evidencia de corrupción de memoria, y Mozilla presume que con algún esfuerzo estas vulnerabilidades podrían haber sido explotadas para la ejecución de código remoto.

Impacto: Alto.

Productos Afectados

La vulnerabilidad afecta al cliente de correo Mozilla Thunderbird versiones anteriores a la 78.5.

Mitigación

La vulnerabilidad fue mitigada en la versión 78.5 de Mozilla Thunderbird.

Enlaces

https://www.mozilla.org/en-US/security/advisories/mfsa2020-52/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26951

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-16012

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26953

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26956

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26958

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26959

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26960

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15999

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26961

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26965

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26966

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26968

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA20-00323-01

9VSA20-00323-01 CSIRT comparte vulnerabilidades que afectan a Mozilla Firefox