Alerta de Seguridad No. 32/22: Mozilla publica nueva actualización de seguridad

  • 27/05/2022
  • 161
Alerta de Seguridad No. 32/22: Mozilla publica nueva actualización de seguridad

Mozilla ha publicado una actualización de seguridad que soluciona dos vulnerabilidades críticas que afectan al gestor de correo Thunderbird y al navegador Firefox, tanto en su versión de escritorio y soporte extendido (ESR), como en la versión para dispositivos Android.

Recursos afectados: 

Todas las versiones anteriores a:

  • Firefox 100.0.2;
  • Firefox ESR 91.9.1;
  • Firefox para Android 100.3;
  • Thunderbird 91.9.1.

 

Descripción:

Las vulnerabilidades corregidas podrían permitir la ejecución remota de código.

  • CVE-2022-1802: Vulnerabilidad que existe debido a la contaminación de prototipos en la implementación de Top-Level Await. Un atacante remoto puede engañar a la víctima para que visite un sitio web especialmente diseñado, corromper los métodos de un objeto Array en JavaScript a través de la contaminación de prototipos y ejecutar código JavaScript arbitrario en un contexto privilegiado.
  • CVE-2022-1529: La vulnerabilidad existe debido a la validación insuficiente de la entrada suministrada por el usuario. Un atacante remoto puede engañar a la víctima para que visite una página web especialmente diseñada, provocando duplicidades en el indexado de un objeto JavaScript. Como resultado, un atacante puede realizar una contaminación de prototipos y ejecutar código JavaScript arbitrario con los privilegios del proceso padre.

 

Adicionalmente los desarrolladores de Tails, una distribución de Linux basada en Debian centrada en la seguridad que se utiliza para la seguridad y el anonimato, advirtieron a los usuarios que no inicien el navegador Tor mientras manejan información confidencial, ya que la vulnerabilidad puede romper las protecciones que proporciona.

Esto es al menos hasta que se publique la versión 5.1 de Tails, prevista para el 31 de mayo.

Un aviso de seguridad de Tails dice: “Esta vulnerabilidad permite que un sitio web malicioso eluda parte de la seguridad integrada en Tor Browser y acceda a información de otros sitios web. Por ejemplo, después de visitar un sitio web malicioso, un atacante que controle este sitio web podría acceder a la contraseña u otra información confidencial que envíe a otros sitios web durante la misma sesión de Tails”.

Recomendaciones:

Se recomienda a los usuarios y administradores de sistemas que apliquen los parches de seguridad de la página oficial del fabricante, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Por el momento, no se conocen medidas de mitigación alternativas para estas vulnerabilidades en caso de no ser posible aplicar las actualizaciones descritas.

Puede comprobar la versión actual de sunavegador Firefox seleccionando el botón superior derecho Menú > Ayuda > Acerca de Firefox.

En el caso de Firefox para Android, puede acceder a Google Play y seleccionar el icono Menú > Mis aplicaciones y juegos > Actualizaciones.

Por defecto, todas las herramientas se actualizan automáticamente. En caso de que esta característica no se encuentre habilitada, es recomendable hacerlo. Para ello, siga los siguientes pasos:

  • Firefox: Menú > Opciones > General > Actualizaciones de Firefox > Instalar actualizaciones automáticamente (recomendado).

 

Para comprobar la versión del cliente de correo Thunderbird:

  • Seleccione el botón superior derecho Menú > Ayuda > acerca de Thunderbird.

 

Por defecto Thunderbird también se actualiza automáticamente. En caso de que esta característica no se encuentre habilitada, puedes seguir estos pasos:

  • Menú > Opciones > General > Actualizaciones > Instalar actualizaciones automáticamente (recomendado).

 

Referencias:

  • https://www.mozilla.org/en-US/security/advisories/mfsa2022-19/
  • https://www.ccn-cert.cni.es/en/updated-security/warnings-ccn-cert/11790-ccn-cert-av-10-22-actualizaciones-de-seguridad-para-firefox-firefox-esr-firefox-para-android-y-thunderbird.html