ClickCease Firefox 118 soluciona múltiples vulnerabilidades de seguridad

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Firefox 118 soluciona múltiples vulnerabilidades de seguridad

Rohan Timalsina

4 de octubre de 2023 - Equipo de expertos TuxCare

Lanzado la semana pasada, Firefox 118 llega con la función de traducción incorporada más esperada, que inicialmente estaba prevista para Firefox 117. Esta nueva función permite a los usuarios traducir el contenido de un sitio web de un idioma a otro.

Poco después del lanzamiento, Firefox 118 abordó múltiples vulnerabilidades de seguridad reportadas por investigadores externos el 26 de septiembre de 2023. Mozilla calificó seis de ellas de vulnerabilidades de gravedad alta. Otras vulnerabilidades parcheadas incluyen dos moderadas y una de baja gravedad.

 

Solucionadas seis vulnerabilidades de alta gravedad

CVE-2023-5168

El FilterNodeD2D1 puede recibir datos maliciosos de un proceso de contenido comprometido, causando una escritura fuera de límites y una caída potencialmente explotable en un proceso privilegiado. Firefox está afectado por este problema sólo en Windows. No hay impacto en otros sistemas operativos.

 

CVE-2023-5169

Una escritura fuera de los límites causada por datos maliciosos en un PathRecording de un proceso de contenido comprometido puede haber causado un fallo en un proceso privilegiado que podría haber sido explotado.

 

CVE-2023-5170

Dentro del renderizado de lienzos, un proceso de contenido comprometido podría haber inducido una alteración inesperada en una superficie, lo que potencialmente podría resultar en una fuga de memoria dentro de un proceso privilegiado. Esta fuga de memoria podría ser explotada para un escape sandbox si los datos específicos requeridos para tal escape fueran expuestos.

 

CVE-2023-5171

Durante la compilación de Ion, un evento de recolección de elementos no utilizados (Garbage Collection) podría haber llevado a un escenario de uso después de la liberación (use-after-free), otorgando a un atacante la capacidad de escribir dos bytes NUL y potencialmente desencadenar un bloqueo que podría ser explotado.

 

CVE-2023-5172

Dentro del motor Ion, la mutación de un hashtable podría haber ocurrido mientras que una referencia interior en vivo todavía estaba en su lugar, potencialmente resultando en un uso después de la situación libre y un accidente que podría ser explotado.

 

CVE-2023-5176

Firefox 117, Firefox ESR 115.2 y Thunderbird 115.2 contenían vulnerabilidades de seguridad de memoria. Algunas de estas vulnerabilidades mostraban signos de corrupción de memoria, y es concebible que, con el suficiente esfuerzo, algunas de ellas pudieran haberse aprovechado para ejecutar código arbitrario.

 

Vulnerabilidad crítica corregida en Firefox 118.0.1

Tras los acontecimientos anteriores, Mozilla anunció los parches para la vulnerabilidad crítica, CVE-2023-5217, el 28 de septiembre de 2023. Este fallo se descubrió en la biblioteca libvpx en la que el manejo específico de un flujo de medios VP8 controlado por un atacante podía provocar un desbordamiento del búfer de montón en el proceso de contenido.

 

Reflexiones finales

Es crucial actualizar el navegador Firefox a la última versión para evitar el riesgo potencial de estas vulnerabilidades. Las nuevas actualizaciones de Firefox 118 ya deberían estar accesibles en los repositorios estables de tu distribución, por lo que se aconseja mantener un calendario regular de actualizaciones para mantener tu sistema seguro.

 

La fuente de esta noticia está disponible en Mozilla Foundation Security Advisories.

Resumen
Firefox 118 soluciona múltiples vulnerabilidades de seguridad
Nombre del artículo
Firefox 118 soluciona múltiples vulnerabilidades de seguridad
Descripción
Descubre la última actualización de seguridad de Firefox 118 que aborda vulnerabilidades de alta gravedad, incluidos problemas de memoria y posibles bloqueos.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín