Alerta de Seguridad No. 36/22: Aviso de Seguridad de Mozilla por múltiples vulnerabilidades
- 01/06/2022
- 258
Mozilla ha publicado dos nuevos avisos de seguridad para advertir sobre el lanzamiento de una nueva actualización que corrige múltiples vulnerabilidades que afectan al gestor de correo Thunderbird y al navegador Firefox.
Recursos afectados:
Todas las versiones anteriores a:
- Thunderbird 91.10;
- Firefox 101;
- Firefox ESR 91.10;
- Firefox para iOS 101.
Descripción:
Las vulnerabilidades corregidas tienen los siguientes identificadores:
- CVE-2022-31736: Fuga de la longitud del recurso de origen. Impacto alto.
- CVE-2022-31737: Desbordamiento de búfer de pila en WebGL. Impacto alto.
- CVE-2022-31738: Falsificación de la ventana del navegador usando el modo de pantalla completa. Impacto alto.
- CVE-2022-31739: Vulnerabilidad del tipo path traversal al salvar archivos descargados. Impacto alto.
- CVE-2022-31740: Problema de asignación de registro en WASM en arm64. Impacto alto.
- CVE-2022-31741: la variable no inicializada provoca una lectura de memoria no válida.
- CVE-2022-31742: Consultar un token WebAuthn con una gran cantidad de entradas allowCredential puede haber filtrado información de origen cruzado. Impacto moderado.
- CVE-2022-31743: El análisis HTML finalizó incorrectamente los comentarios HTML de forma prematura. Impacto moderado.
- CVE-2022-31744: Omisión de CSP que permite la inyección de hojas de estilo. Impacto moderado.
- CVE-2022-31745: Afirmación incorrecta causada por operaciones de cambio de matriz no optimizadas. Impacto moderado.
- CVE-2022-31747: errores de seguridad de la memoria corregidos en Firefox 101 y Firefox ESR 91.10. Impacto alto.
- CVE-2022-31748: errores de seguridad de la memoria corregidos en Firefox 101. Impacto alto.
- CVE-2022-1919: Corrupción de memoria al manipular imágenes webp. Impacto bajo.
- CVE-2022-1834: El carácter de espacio Braille provocó que se mostrara un correo electrónico del remitente incorrecto para un correo electrónico firmado digitalmente. Impacto alto.
- CVE-2022-1887: Inyección de SQL en la pestaña de historial. Impacto moderado.
Recomendaciones:
Aplicar las actualizaciones corespondientes.
Referencias:
- https://www.mozilla.org/en-US/security/advisories/mfsa2022-20/
- https://www.mozilla.org/en-US/security/advisories/mfsa2022-21/
- https://www.mozilla.org/en-US/security/advisories/mfsa2022-22/
- https://www.mozilla.org/en-US/security/advisories/mfsa2022-23/