Recientemente Mozilla ha publicado 10 nuevas vulnerabilidades encontradas en Firefox, dos de ellas de alto riesgo, que pueden ser corregidas con la última actualización disponible.

Los productos afectados son:

• Mozilla Firefox, versiones 60.0 a 88.0.1.
• Mozilla Firefox ESR, versiones 60.0 a 78.10.1.
• Mozilla Firefox para iOS, versiones anteriores a la 34.

Las vulnerabilidades se describen a continuación:

• CVE-2021-29958: La descarga de archivos comparte cookies en modo de navegación privada. Impacto moderado. Cuando se ha iniciado una descarga, el cliente no verifica si estaba en modo de navegación normal o privada, lo que conlleva a que las cookies de modo privado se compartan en el modo de navegación normal. Afecta a Firefox para iOS.
• CVE-2021-29959: Los dispositivos se pueden volver a habilitar sin una solicitud de permiso adicional. Impacto bajo. Cuando un usuario ya ha permitido que un sitio web acceda al micrófono y la cámara, deshabilitar el uso compartido de la cámara no evitaría por completo que el sitio web lo vuelva a habilitar sin un aviso adicional.
• CVE-2021-29960: Los nombres de archivo impresos desde el modo de navegación privada se conservan incorrectamente en las preferencias. Impacto Moderado. Firefox solía almacenar en caché el último nombre de archivo utilizado para imprimir un archivo. Al generar un nombre de archivo para imprimir, Firefox generalmente sugiere el título de la página web. Las técnicas de caché y sugerencia combinadas pueden haber llevado a que el título de un sitio web visitado durante el modo de navegación privada se almacene en el disco.
• CVE-2021-29961: Suplantación de la interfaz de usuario de Firefox usando elementos select y escalado CSS. Impacto Moderado. Al diseñar y renderizar un elemento select de gran tamaño, Firefox no aplica el recorte correcto, lo que permite a un atacante modificar la interfaz de usuario.
• CVE-2021-29962: No existe limitación de velocidad para ventanas emergentes en Firefox para Android. Impacto Bajo. Firefox para Android se volvería inestable y difícil de recuperar cuando un sitio web abriera demasiadas ventanas emergentes. Este error solo afecta a Firefox para Android.
• CVE-2021-29963: Cookies compartidas para sugerencias de búsqueda en modo de navegación privada. Impacto Moderado. Las sugerencias de búsqueda de la barra de direcciones en el modo de navegación privada estaban reutilizando los datos de la sesión del modo normal. Este error solo afecta a Firefox para Android.
• CVE-2021-29964: Lectura fuera de límites al analizar un mensaje WM_COPYDATA. Impacto Moderado. Un programa hostil instalado localmente podría enviar mensajes WM_COPYDATA que Firefox procesaría incorrectamente, lo que provocaría una lectura fuera de los límites. Este error solo afecta a Firefox en Windows. Otros sistemas operativos no se ven afectados.
• CVE-2021-29965: Administrador de contraseñas en Firefox para Android susceptible a la suplantación de dominio. Impacto Alto. Un sitio web malicioso que genere un cuadro de diálogo de autenticación HTTP podría engañar al administrador de contraseñas integrado para que sugiera contraseñas para el sitio web actualmente activo en lugar del sitio web que activó el cuadro de diálogo. Este error solo afecta a Firefox para Android.
• CVE-2021-29966 y CVE-2021-29967: Ambas vulnerabilidades relacionadas con errores de seguridad de la memoria. Impacto Moderado y Alto respectivamente. Se detectaron errores de seguridad de memoria presentes en Firefox 88 y Firefox ESR 78.10, evidencíandose corrupción de memoria. De no corregirse, estas vulnerabilidades pueden ser explotadas por un actor malicioso para ejecutar código arbitrario.

Recomendaciones:

• Actualizar de forma inmediata Firefox y ESR Firefox a las últimas provistas por Mozilla (Firefox versión 89 para Microsoft Windows y Android, Firefox ESR versión 78.11, Firefox versión 34 para iOS).

Referencias:

• https://www.mozilla.org/en-US/security/advisories/mfsa2021-23/
• https://www.mozilla.org/en-US/security/advisories/mfsa2021-24/
• https://www.mozilla.org/en-US/security/advisories/mfsa2021-25/