9VSA23-00775-01 CSIRT comparte vulnerabilidades parchadas en Mozilla Firefox y Firefox ESR
Resumen
El CSIRT de Gobierno comparte información sobre vulnerabilidades que afectan a Mozilla Firefox y Firefox ESR, para las cuales Mozilla anunció recientemente actualizaciones.
Vulnerabilidades
CVE-2023-23599
CVE-2023-23601
CVE-2023-23603
CVE-2023-23602
CVE-2023-23605
CVE-2022-46871
CVE-2022-46877
CVE-2023-23598
Impacto
Vulnerabilidades de riesgo alto
CVE-2023-23598: Debido a que el código wrapper de Firefox GTK usa text/plain para drag data, y porque GTK trata todos los MIME text/plain como si fueran arrastrados, un sitio podría leer arbitrariamente un archivo con una llamada a DataTransfer.setData.
CVE-2022-46871: Una biblioteca obsoleta (libursrsctp) contiene vulnerabilidades que podrían potencialmente ser explotadas.
CVE-2023-23605: Problemas de memoria presentes en Firefox 108 y Firefox ESR 102.8, algunos de los cuales mostraban evidencia de corrupción de memoria, y, suponen en Mozilla, con suficiente esfuerzo podrían ser explotados para correr código arbitrario.
Mitigación
Instalar las respectivas actualizaciones entregadas por el proveedor.
Productos afectados
Versiones anteriores a Firefox ESR 102.7
Versiones anteriores a Firefox 109
Enlaces
https://www.mozilla.org/en-US/security/advisories/mfsa2023-02/
https://www.mozilla.org/en-US/security/advisories/mfsa2023-01/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-23599
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-23601
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-23603
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-23602
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-23605
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-46871
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-46877
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-23598
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA23-00775-01.