9VSA22-00546-01 CSIRT alerta de vulnerabilidades en Mozilla Firefox
El CSIRT de Gobierno, comparte nuevas vulnerabilidades en Mozilla Firefox.
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática del Gobierno de Chile, CSIRT de Gobierno, comparte nuevas vulnerabilidades en Mozilla Firefox.
Este informe incluye las medidas de mitigación, consistentes en instalar la última actualización de los productos afectados.
Vulnerabilidades
CVE-2022-22746
CVE-2022-22743
CVE-2022-22742
CVE-2022-22744
CVE-2022-22741
CVE-2022-22740
CVE-2022-22738
CVE-2022-22737
CVE-2021-4140
CVE-2022-22749
CVE-2022-22750
CVE-2022-22748
CVE-2022-22745
CVE-2022-22744
CVE-2022-22747
CVE-2022-22736
CVE-2022-22739
CVE-2022-22751
CVE-2022-22752
Impactos
Vulnerabilidades de riesgo alto:
CVE-2022-22746: Vulnerabilidad que permite evadir la notificación de pantalla completa, lo que podría resultar en que un spoof de pantalla completa no sea detectado. Solo afecta a Firefox para Windows.
CVE-2022-22743: Vulnerabilidad que permite a un atacante controlar una pestaña y hacer que el navegador no deje el modo de pantalla completa.
CVE-2022-22742: Vulnerabilidad que permite que al insertar texto en el modo de edición, algunos caracteres puedan llevar a un acceso a memoria fuera de límites, causando una caída del sistema potencialmente explotable.
CVE-2022-22741: Vulnerabilidad que permite que al cambiar las dimensiones de un popup mientras se solicita acceso a la pantalla completa, el popup quede incapacitado de dejar el modo de pantalla completa.
CVE-2022-22740: Vulnerabilidad que permite que algunos objetos de solicitud de red (network request objects) se liberen demasiado pronto al liberar un identificador de solicitud de red (network request handle), lo que podría llevar a un error de uso de memoria después de ser liberada, y una caída del sistema potencialmente explotable.
CVE-2022-22738: Vulnerabilidad que podría llevar a un desbordamiento de heap buffer al aplicar un efecto de filtro CCS que puede haber accedido a memoria fuera de límites. Esto puede llevar a una caída potencialmente explotable del sistema.
CVE-2021-4140: Vulnerabilidad que posibilita construir un marcado XSLT específico que podría evadir una sandbox iframe.
Productos afectados
Firefox, versiones anteriores a Firefox 96.
Mitigación
Instalar las respectivas actualizaciones entregadas por el proveedor.
Enlaces
https://www.mozilla.org/en-US/security/advisories/mfsa2022-01/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22746
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22743
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22742
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22744
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22741
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22740
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22738
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22737
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-4140
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22749
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22750
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22748
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22745
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22744
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22747
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22736
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22739
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22751
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22752
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA22-00546-01.