Logotipo de Zephyrnet

Inteligencia de datos generativa

Ciberseguridad

Firefox corrige una serie de fallas en el primero de los dos lanzamientos de este mes

Reeditado por Platón
Reeditado por Platón

Fecha:

Vistas: 74
by Paul patito

La última nueva versión completa de Firefox está fuera, marcando la primera de dos actualizaciones "mensuales" que verás este mes.

Así como habrá una luna azul en agosto de 2023 (ese es el nombre aplicado a una segunda luna llena en el mismo mes calendario, en lugar de referirse a un fenómeno atmosférico que hace que la luna parezca azul, en caso de que alguna vez se lo haya preguntado), habrá ser un Firefox azul también.

Las actualizaciones de la versión de Firefox se realizan cada 28 días, en lugar de una vez al mes, por lo que siempre que se publique un lanzamiento lo suficientemente temprano en el mes, habrá una segunda actualización al final.

Momentos de enseñanza

Afortunadamente, esta vez no hay vulnerabilidades de día cero, pero las siguientes informes de errores nos llamó la atención:

  • CVE-2023-4045: Offscreen Canvas podría haber evitado las restricciones de origen cruzado. Una página web podría echar un vistazo a las imágenes que se muestran en otra página desde un sitio diferente. Se supone que la política del mismo origen en los navegadores restringe el alcance del contenido HTML y JavaScript del sitio X para que pueda acceder a formularios, datos, imágenes, cookies y similares solo si también provienen originalmente del sitio X. Cualquier truco que pueda pasar por alto esta protección del mismo origen teóricamente se puede utilizar para sorber los llamados origen cruzado datos que no deberían ser accesibles en absoluto.
  • CVE-2023-4047: Omisión de solicitud de permisos potenciales a través de clickjacking. Una página no autorizada podría tentarlo a hacer clic en un elemento cuidadosamente colocado, como un botón de aspecto completamente inocente, solo para que la entrada se registre como un clic en un cuadro de diálogo de seguridad que no apareció a tiempo para que usted lo vea. Los permisos potencialmente riesgosos, como el acceso a su ubicación, el envío de notificaciones, la activación del micrófono, etc., no deben otorgarse hasta que haya visto una advertencia clara del navegador y haya actuado en consecuencia.
  • CVE-2023-4048: Bloqueo en DOMParser debido a condiciones de falta de memoria. DOM es la abreviatura de modelo de objeto de documento, y DOMParser es el código que deconstruye el HTML en una página web que el navegador está renderizando para su visualización, convirtiéndolo en un gran objeto de datos de JavaScript en el que todos los componentes individuales, como párrafos, encabezados, imágenes, elementos de tabla, etc. Se puede acceder y modificar mediante programación. Las páginas complejas generalmente se convierten en grandes estructuras de JavaScript que pueden requerir mucha memoria para descifrar y luego almacenar. Supongamos que un atacante determinado podría consumir memoria deliberadamente cargando una cantidad de páginas grandes pero inocentes y luego, de manera predecible, desencadenar un bloqueo utilizando un archivo HTML manipulado que se recupera en el momento equivocado.
  • CVE-2023-4050: Desbordamiento de búfer de pila en StorageManager. Este es un desbordamiento de pila de la vieja escuela que Firefox no detecta a tiempo y, por lo tanto, podría provocar un bloqueo en lugar de un apagado controlado. Todos los bloqueos causados ​​por el flujo de ejecución incorrecto en un programa (como saltar a cualquier dirección de memoria no válida X) deben considerarse potencialmente explotables. Suponga que un atacante decidido podría descubrir cómo influir en el valor de X y, por lo tanto, obtener al menos cierta medida de control malévolo sobre el bloqueo.
  • CVE-2023-4051: Notificación de pantalla completa oscurecida por el cuadro de diálogo de apertura de archivo. El modo de pantalla completa siempre es un poco arriesgado, porque le da a la página web que está viendo un control preciso sobre cada píxel en la pantalla. Esto significa que no hay partes de la pantalla que puedan ser modificadas solo por el navegador o solo por el sistema operativo. Es por eso que los navegadores apuntan a advertirle antes de entregar toda la pantalla a una página web, para que sepa que las ventanas emergentes que parecen diálogos oficiales del navegador o del sistema operativo pueden no ser tales.
  • CVE-2023-4057 y CVE-2023-4058: Errores de seguridad de la memoria corregidos en varias versiones de Firefox. Como de costumbre, a pesar de que ninguno de estos errores era obviamente explotable, y de todos modos se corrigieron de manera proactiva, Mozilla los calificó como "Altos" y dio su evaluación siempre franca de que “Presumimos que con suficiente esfuerzo, algunos de estos podrían haber sido explotados para ejecutar código arbitrario”.

¿Qué hacer?

Las nuevas versiones que buscas después de actualizar son:

  • Firefox 116 si estás en la última versión.
  • Firefox ESR 115.1 si es usuario de Extended Support Release, que incluye parches de seguridad pero no agrega nuevas funciones. (Agregar 115+1 del número de versión de ESR le indica que esta versión se alinea con Firefox 116 para las correcciones de seguridad, aunque su conjunto de funciones se alinea con Firefox 115).
  • Thunderbird 115.1 si utiliza el software de correo electrónico de Mozilla, que incluye el código de navegación web de Firefox para procesar correos electrónicos HTML y ver enlaces web enviados por correo electrónico.

Diríjase a Firefox -> Acerca de Firefox si tienes una Mac, o Ayuda -> Acerca de Firefox en otras plataformas.

No olvide, si usa uno de los BSD o una distribución de Linux, que su versión de Firefox puede ser administrada por la propia distribución, así que consulte con su proveedor para obtener actualizaciones.

punto_img

Información más reciente

punto_img

Derechos de autor @ 2024 Plato Technologies Inc.