Firefox 117 soluciona 4 vulnerabilidades de corrupción de memoria
Durante su fase beta, Firefox 117 introdujo una nueva e interesante característica que ya estaba presente en otros navegadores: unmotor de traducción de sitios web integrado que realiza todas las traducciones localmente dentro del navegador web, teniendo en cuenta la seguridad. Lamentablemente, esta característica tan esperada no llegó a la versión final.
La última versión de Firefox 117 trae nuevas y emocionantes características y mejoras, incluyendo correcciones de seguridad para 13 vulnerabilidades reportadas por investigadores de seguridad.
Solucionadas cinco vulnerabilidades de alta gravedad
CVE-2023-4573
Se ha descubierto un fallo de corrupción de memoria en IPC CanvasTranslator. Cuando mStream se inicializaba y recibía datos de renderizado a través de IPC, podía haberse destruido, lo que daba lugar a un fallo de uso después de la liberación que podía provocar un bloqueo explotable.
CVE-2023-4574
Se ha encontrado una vulnerabilidad de corrupción de memoria en IPC ColorPickerShownCallback. Al establecer una devolución de llamada a través de IPC para mostrar la ventana Color Picker, existía un problema potencial en el que muchas de las mismas devoluciones de llamada podían generarse simultáneamente y destruirse cuando una de estas devoluciones de llamada finalizaba. Esto podría dar lugar a un fallo de uso después de la liberación, que a su vez conduce a un fallo potencialmente explotable.
CVE-2023-4575
Se encontró una vulnerabilidad de corrupción de memoria en IPC FilePickerShownCallback. Al establecer una devolución de llamada IPC para iniciar la ventana del selector de archivos, existía la posibilidad de que se generaran múltiples devoluciones de llamada idénticas de forma concurrente. Posteriormente, al completar cualquiera de estos callbacks, todos ellos podrían haber sido destruidos simultáneamente. Este escenario tenía el potencial de resultar en una situación de uso después de libre, potencialmente llevando a un fallo explotable.
CVE-2023-4577
Una vulnerabilidad de corrupción de memoria en JIT UpdateRegExpStatics cuando la función UpdateRegExpStatics intentaba acceder al initialStringHeap, existía la posibilidad de que este montón ya hubiera sido recolectado de la basura antes de entrar en la función. Esta situación podía provocar un fallo explotable.
CVE-2023-4576
También se descubrió otra vulnerabilidad de desbordamiento de enteros de alta gravedad denominada "CVE-2023-4576" en RecordedSourceSurfaceCreation. Sin embargo, este fallo solo afecta a Firefox en Windows, por lo que no afecta a otros sistemas operativos.
Además, se han notificado y corregido otras ocho vulnerabilidades, calificadas de gravedad moderada a baja. Para obtener información completa sobre todas las vulnerabilidades de seguridad parcheadas, consulte la MFSA 2023-34.
Nuevos cambios
Para los usuarios de Linux, la versión 117 de Mozilla Firefox parece haber eliminado el indicador de pantalla compartida en los sistemas Wayland. Mozilla declaró que el indicador de pantalla compartida se enfrentaba a problemas para funcionar eficazmente en varias plataformas, incluyendo Wayland. Además, señalaron que muchos entornos de escritorio Linux populares ya ofrecen sus propios indicadores de pantalla compartida, lo que influyó en su decisión de eliminarlo de Firefox.
Además de estos cambios, incluye mejoras como un mejor desplazamiento por las listas de vídeos de YouTube cuando se utiliza un lector de pantalla y una mayor compatibilidad con la cumplimentación automática de tarjetas de crédito en las configuraciones regionales IT, ES, AT, BE y PL.
Actualmente puedes descargar Mozilla Firefox 117 directamente desde el servidor de descargas de Mozilla. Sin embargo, si tienes Firefox instalado a través de los repositorios de tu distribución, es recomendable esperar a que la actualización oficial esté disponible antes de proceder.
Las fuentes de este artículo incluyen un artículo de 9to5Linux.