9VSA21-00379-01 CSIRT comparte vulnerabilidades entregadas por Mozilla
CSIRT comparte la información entregada por Mozilla, sobre vulnerabilidades que afectan a Firefox, Firefox ESR y Thunderbird.
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte la información entregada por Mozilla, sobre vulnerabilidades que afectan a Firefox, Firefox ESR y Thunderbird.
Este informe incluye las medidas de mitigación, consistentes en implementar medidas recomendadas por el proveedor e instalar las actualizaciones de los productos afectados cuando estén disponibles.
Vulnerabilidades
CVE-2021-23953
CVE-2021-23954
CVE-2021-23955
CVE-2021-23964
CVE-2021-23965
Impacto
Las siguientes son identificadas por Mozilla como vulnerabilidades de alto riesgo:
CVE-2021-23953 permite a un atacante elaborar un PDF especialmente diseñado, que al ser abierto por un usuario puede confundir al lector de PDF para que filtre información de origen cruzado.
CVE-2021-23954 permite a un atacante provocar una confusión de tipo de archivo que lleve a corrupción de memoria y un crash potencialmente explotable.
CVE-2021-23955 permite que el Firefox pueda ser confundido para transferir un estado de bloqueo del cursos a otra pestaña, lo que podría llevar a ataques de clickjacking.
CVE-2021-23964 y CVE-2021-23965 consisten en errores de seguridad de memoria, algunos de los cuales evidencian corrupción de memoria, por lo que desarrolladores de Mozilla estiman posible que podrían ser explotados para ejecutar código arbitrario.
Productos afectados
Mozilla Thunderbird, versiones anteriores a la 78.7.
Firefox ESR, versiones anteriores a la 78.7.
Firefox, versiones anteriores a la 85.
Mitigación
Instalar las correspondientes actualizaciones desde el sitio del proveedor.
Enlaces
https://www.mozilla.org/en-US/security/advisories/mfsa2021-03/
https://www.mozilla.org/en-US/security/advisories/mfsa2021-04/
https://www.mozilla.org/en-US/security/advisories/mfsa2021-05/
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA21-00379-01