La fundación Mozilla ha publicado esta semana dos boletines de seguridad en el que se solucionan múltiples vulnerabilidades, dos de ellas de severidad crítica.

Recursos afectados: Firefox, Firefox ESR, Firefox para Android, Focus, Thunderbird.

• Mozilla Firexfox, versiones anteriores a la 98.
• Firefox ESR, versiones anteriores a la 91.7.
• Thunderbird, versiones anteriores a la 91.7.
• Focus, versiones anteriores a la 97.3.

Descripción:

Las vulnerabilidades críticas tienen los siguientes identificadores:

• CVE-2022-26485: Severidad crítica. La eliminación de un parámetro XSLT durante el procesamiento puede dar lugar a la explotación de una vulnerabilidad del tipo Use-after-free.
• CVE-2022-26486: Severidad crítica. El error use-after-free en WebGPU-IPC-Framework ya ha sido explotado para el llamado escape de sandbox. Los atacantes pueden usar esto para eludir las medidas de seguridad y enviar malware a través de los navegadores.

El resto de vulnerabilidades clasificadas como de riesgo alto son: CVE-2022-26383, CVE-2022-26384, CVE-2022-26387 y CVE-2022-26381. Las consideradas de riesgo moderado tienen los identificadores: CVE-2022-26382, CVE-2022-26385 y 2022-0843, mientras que a la CVE-2022-26386 se le asignó un riesgo bajo. 

Recomendaciones:

Actualizar de forma inmediata a las últimas versiones publicadas por Mozilla.

Referencias:

• https://www.mozilla.org/en-US/security/advisories/mfsa2022-09/
• https://www.mozilla.org/en-US/security/advisories/mfsa2022-10/
• https://www.mozilla.org/en-US/security/advisories/mfsa2022-11/
• https://www.mozilla.org/en-US/security/advisories/mfsa2022-12/