Alerta de Seguridad No. 36/22: Aviso de Seguridad de Mozilla por múltiples vulnerabilidades

  • 01/06/2022
  • 258
Alerta de Seguridad No. 36/22: Aviso de Seguridad de Mozilla por múltiples vulnerabilidades

Mozilla ha publicado dos nuevos avisos de seguridad para advertir sobre el lanzamiento de una nueva actualización que corrige múltiples vulnerabilidades que afectan al gestor de correo Thunderbird y al navegador Firefox.

Recursos afectados: 

Todas las versiones anteriores a: 

  • Thunderbird 91.10;
  • Firefox 101;
  • Firefox ESR 91.10;
  • Firefox para iOS 101.

 

Descripción:

Las vulnerabilidades corregidas tienen los siguientes identificadores:

  • CVE-2022-31736: Fuga de la longitud del recurso de origen. Impacto alto.
  • CVE-2022-31737: Desbordamiento de búfer de pila en WebGL. Impacto alto.
  • CVE-2022-31738: Falsificación de la ventana del navegador usando el modo de pantalla completa. Impacto alto.
  • CVE-2022-31739: Vulnerabilidad del tipo path traversal al salvar archivos descargados. Impacto alto.
  • CVE-2022-31740: Problema de asignación de registro en WASM en arm64. Impacto alto.
  • CVE-2022-31741: la variable no inicializada provoca una lectura de memoria no válida.
  • CVE-2022-31742: Consultar un token WebAuthn con una gran cantidad de entradas allowCredential puede haber filtrado información de origen cruzado. Impacto moderado.
  • CVE-2022-31743: El análisis HTML finalizó incorrectamente los comentarios HTML de forma prematura. Impacto moderado.
  • CVE-2022-31744: Omisión de CSP que permite la inyección de hojas de estilo. Impacto moderado.
  • CVE-2022-31745: Afirmación incorrecta causada por operaciones de cambio de matriz no optimizadas. Impacto moderado.
  • CVE-2022-31747: errores de seguridad de la memoria corregidos en Firefox 101 y Firefox ESR 91.10. Impacto alto.
  • CVE-2022-31748: errores de seguridad de la memoria corregidos en Firefox 101. Impacto alto.
  • CVE-2022-1919: Corrupción de memoria al manipular imágenes webp. Impacto bajo.
  • CVE-2022-1834: El carácter de espacio Braille provocó que se mostrara un correo electrónico del remitente incorrecto para un correo electrónico firmado digitalmente. Impacto alto.
  • CVE-2022-1887: Inyección de SQL en la pestaña de historial. Impacto moderado.

 

Recomendaciones:

Aplicar las actualizaciones corespondientes.

Referencias:

  • https://www.mozilla.org/en-US/security/advisories/mfsa2022-20/
  • https://www.mozilla.org/en-US/security/advisories/mfsa2022-21/
  • https://www.mozilla.org/en-US/security/advisories/mfsa2022-22/
  • https://www.mozilla.org/en-US/security/advisories/mfsa2022-23/