Lanzamiento de Firefox 122 con 15 correcciones de seguridad
Mozilla lanzó la nueva versión de su popular navegador, Firefox 122, el 23 de enero de 2024. Llegó 1 mes y 5 días después de la anterior Firefox 121 y trae varias nuevas características y mejoras junto con varias correcciones de seguridad. En este artículo, exploraremos las vulnerabilidades de alta gravedad abordadas en las recientes actualizaciones de seguridad de Firefox.
Vulnerabilidades de alta gravedad corregidas en Firefox 122
CVE-2024-0741
Esta vulnerabilidad de escritura fuera de los límites en ANGLE ((Almost Native Graphics Layer Engine) podría permitir a un atacante corromper la memoria llevando a un fallo potencialmente explotable.
CVE-2024-0742
Los usuarios podían activar o descartar involuntariamente determinados avisos y cuadros de diálogo del navegador debido a una marca de tiempo incorrecta utilizada para impedir la introducción de datos tras la carga de la página.
CVE-2024-0743
Firefox 122 solucionó un valor de retorno no comprobado en el código de enlace TLS que podría provocar un fallo explotable.
CVE-2024-0744
Bajo ciertas condiciones, el código compilado JIT podría haber desreferenciado un valor de puntero salvaje, planteando un riesgo de fallo explotable.
CVE-2024-0745
Firefox 122 también ha parcheado un problema de desbordamiento del búfer de pila en el WebAudio OscillatorNode
lo que podría dar lugar a un fallo potencialmente explotable.
Otras vulnerabilidades de seguridad corregidas
Todas las vulnerabilidades restantes están clasificadas como de gravedad media con un impacto moderado en Firefox, entre las que se incluyen:
CVE-2024-0746: Abrir el diálogo de vista previa de impresión en Linux podía provocar un bloqueo del navegador.
CVE-2024-0748: Un proceso de contenido comprometido podría haber modificado el URI del documento, permitiendo a un atacante establecer un URI arbitrario en la barra de direcciones o en el historial.
CVE-2024-0749: Un sitio de phishing podría reutilizar un cuadro de diálogo about: para mostrar contenido de phishing con un origen incorrecto en la barra de direcciones.
CVE-2024-0750: Firefox 122 corregía un error en el cálculo del retardo de las notificaciones emergentes que podía permitir a un atacante engañar a un usuario para que concediera permisos.
CVE-2024-0751: Una extensión devtools maliciosa podría ser utilizada para escalar privilegios.
Paquete Firefox 122 DEB
Firefox finalmente viene con un paquete . deb para los usuarios de Linux en Ubuntu, Debian y Linux Mint. El paquete DEB oficial de Firefox garantiza un mayor rendimiento mediante optimizaciones avanzadas basadas en compiladores, binarios seguros con todas las banderas de seguridad activadas durante la compilación, acceso rápido a las últimas actualizaciones y navegación fluida sin necesidad de reiniciar Firefox tras actualizar el paquete.
Conclusión
Muchas distribuciones de Linux, incluidas Ubuntu y Debian, ya han desplegado actualizaciones de seguridad que abordan las vulnerabilidades de Firefox mencionadas. Es esencial actualizar las instalaciones existentes de Firefox para obtener las últimas versiones y garantizar una experiencia de navegación segura. También puede encontrar los paquetes binarios o DEB oficiales de Firefox 122 en la página de descargas.
Las fuentes de este artículo incluyen un artículo de la MFSA 2024-01.