Búsqueda de Ciberamenazas

Firefox corrige un aluvión de fallos en la primera de las dos versiones de este mes

Escrito por
2 agosto 2023
Threat Research Actualizacion Firefox

Ya está disponible la última versión completa de Firefox, la primera de las dos actualizaciones “mensuales” que verás este mes.

Al igual que habrá una luna azul en agosto de 2023 (es el nombre que se aplica a una segunda luna llena en el mismo mes del calendario, en lugar de hacer referencia a un fenómeno atmosférico que hace que la luna parezca azul, por si alguna vez te lo has preguntado), también habrá un Firefox azul.

Las actualizaciones de la versión de Firefox se realizan cada 28 días, en lugar de una vez al mes, por lo que siempre que se publique una versión a principios de mes, habrá una segunda actualización al final.

Vulnerabilidades interesantes

Afortunadamente, esta vez no hay vulnerabilidades de día cero, pero nos han llamado la atención los siguientes informes de errores:

  • CVE-2023-4045: Offscreen Canvas podría haber eludido las restricciones de origen cruzado. Una página web podía espiar las imágenes mostradas en otra página de un sitio diferente. Se supone que la política del mismo origen de los navegadores restringe el alcance del contenido HTML y JavaScript del sitio X, de modo que solo pueda acceder a formularios, datos, imágenes, cookies y similares si también proceden originalmente del sitio X. Cualquier truco que pueda eludir esta protección puede utilizarse teóricamente para obtener los denominados datos de origen cruzado que no deberían ser accesibles en absoluto.
  • CVE-2023-4047: posible elusión de la solicitud de permisos mediante clickjacking. Una página fraudulenta podría tentarte a hacer clic en un elemento cuidadosamente colocado, como un botón de aspecto totalmente inocente, solo para que la entrada se registre como un clic en un cuadro de diálogo de seguridad que no apareció a tiempo para que lo vieras. Se supone que los permisos potencialmente peligrosos, como acceder a tu ubicación, enviar notificaciones, activar el micrófono, etc., no se conceden hasta que hayas visto y actuado según una advertencia clara del propio navegador.
  • CVE-2023-4048: bloqueo en DOMParser debido a condiciones de falta de memoria. DOM es la abreviatura de document object model, y el DOMParser es el código que deconstruye el HTML de una página web que el navegador está renderizando para su visualización, convirtiéndolo en un gran objeto de datos JavaScript en el que todos los componentes individuales, como párrafos, encabezados, imágenes, elementos de tabla, etc., pueden ser accedidos y modificados mediante programación. Las páginas complejas suelen convertirse en grandes estructuras JavaScript que pueden requerir mucha memoria para descifrarlas y luego almacenarlas. Supongamos que un atacante pudiera consumir memoria deliberadamente cargando una serie de páginas grandes pero inocentes, y luego desencadenar previsiblemente un fallo utilizando un archivo HTML manipulado que se obtiene justo en el momento equivocado.
  • CVE-2023-4050: desbordamiento del búfer de pila en StorageManager. Se trata de un desbordamiento de pila de la vieja escuela que no es detectado a tiempo por el propio Firefox, por lo que podría provocar un fallo en lugar de un cierre controlado. Todos los bloqueos causados por el flujo incorrecto de ejecución en un programa (como saltar a cualquier dirección de memoria X no válida) deben considerarse potencialmente explotables. Supongamos que un atacante pudiera averiguar cómo influir en el valor de X, y así obtener al menos cierto tipo de control sobre el fallo.
  • CVE-2023-4051: notificación de pantalla completa ocultada por diálogo de apertura de archivo. El modo de pantalla completa siempre es un poco arriesgado, porque da a la página web que estás viendo un control preciso sobre cada píxel de la pantalla. Esto significa que no hay partes de la pantalla que puedan ser modificadas solo por el propio navegador o solo por el sistema operativo. Por eso los navegadores intentan advertirte antes de ceder toda la pantalla a una página web, para que sepas que las ventanas emergentes que parecen diálogos oficiales del navegador o del sistema operativo pueden no ser tal cosa.
  • CVE-2023-4057 y CVE-2023-4058: fallos de seguridad de memoria corregidos en varias versiones de Firefox. Como de costumbre, aunque ninguno de estos fallos era obviamente explotable, y de todas formas se solucionaron de forma proactiva, Mozilla los ha calificado como “Altos” y ha dado su siempre franca valoración de que “suponemos que con suficiente esfuerzo algunos de ellos podrían haberse explotado para ejecutar código arbitrario”.

¿Qué hacer?

Las nuevas versiones que debes buscar tras la actualización son:

  • Firefox 116.
  • Firefox ESR 115.1 si eres usuario de la versión de soporte extendido, que incluye parches de seguridad pero no añade nuevas funciones. (Si añades 115+1 al número de versión ESR, sabrás que esta versión está alineada con Firefox 116 en cuanto a parches de seguridad, aunque su conjunto de características es la de Firefox 115).
  • Thunderbird 115.1 si utilizas el software de correo electrónico de Mozilla, que incluye el código de navegación web de Firefox para representar correos electrónicos HTML y ver enlaces web enviados por correo electrónico.

Dirígete a Firefox -> Acerca de Firefox si tienes un Mac, o a Ayuda -> Acerca de Firefox en otras plataformas.

No olvides, si utilizas una de las distribuciones BSD o Linux, que tu versión de Firefox puede estar gestionada por la propia distribución, así que comprueba las actualizaciones con tu proveedor.

Acerca del autor

Naked Security es el blog oficial de Sophos en inglés en el que se cometan las últimas noticias sobre ciberseguridad.

Leer artículos similares

Dejar un comentario

Your email address will not be published. Required fields are marked *