9VSA23-00775-01 CSIRT comparte vulnerabilidades parchadas en Mozilla Firefox y Firefox ESR

Resumen

El CSIRT de Gobierno comparte información sobre vulnerabilidades que afectan a Mozilla Firefox y Firefox ESR, para las cuales Mozilla anunció recientemente actualizaciones.

Vulnerabilidades

CVE-2023-23599

CVE-2023-23601

CVE-2023-23603

CVE-2023-23602

CVE-2023-23605

CVE-2022-46871

CVE-2022-46877

CVE-2023-23598

Impacto

Vulnerabilidades de riesgo alto

CVE-2023-23598: Debido a que el código wrapper de Firefox GTK usa text/plain para drag data, y porque GTK trata todos los MIME text/plain como si fueran arrastrados, un sitio podría leer arbitrariamente un archivo con una llamada a DataTransfer.setData.

CVE-2022-46871: Una biblioteca obsoleta (libursrsctp) contiene vulnerabilidades que podrían potencialmente ser explotadas.

CVE-2023-23605: Problemas de memoria presentes en Firefox 108 y Firefox ESR 102.8, algunos de los cuales mostraban evidencia de corrupción de memoria, y, suponen en Mozilla, con suficiente esfuerzo podrían ser explotados para correr código arbitrario.

Mitigación

Instalar las respectivas actualizaciones entregadas por el proveedor.

Productos afectados

Versiones anteriores a Firefox ESR 102.7

Versiones anteriores a Firefox 109

Enlaces

https://www.mozilla.org/en-US/security/advisories/mfsa2023-02/

https://www.mozilla.org/en-US/security/advisories/mfsa2023-01/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-23599

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-23601

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-23603

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-23602

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-23605

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-46871

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-46877

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-23598

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA23-00775-01.

9VSA23-00775-01 CSIRT comparte vulnerabilidades parchadas en Mozilla Firefox y Firefox ESR