TLP:CLEAR PAP:WHITE
Aviso de seguridad de Mozilla 2023-24
Descripción
Vulnerabilidades de seguridad corregidas en Thunderbird 102.13. En general, estas fallas no se pueden explotar a través del correo electrónico en el producto Thunderbird porque las secuencias de comandos están deshabilitadas cuando se lee el correo, pero son riesgos potenciales en el navegador o en contextos similares a los de un navegador.
CVE-2023-37201: Use-after-free en la generación de certificados WebRTC [alto].
Un atacante podría haber desencadenado una condición de use-after-free al crear una conexión WebRTC a través de HTTPS.
CVE-2023-37202: Posible use-after-free del compartimento libre en SpiderMonkey [alto].
Los envoltorios de compartimentos cruzados que envuelven un proxy con secuencias de comandos podrían haber causado que los objetos de otros compartimentos se almacenaran en el compartimento principal, lo que resultaría en un usse-after-free.
CVE-2023-37207: notificación de pantalla completa oculta [medio].
Un sitio web podría haber oscurecido la notificación de pantalla completa al usar una URL con un esquema manejado por un programa externo, como una URL mailto. Esto podría haber llevado a la confusión del usuario y posibles ataques de suplantación de identidad.
CVE-2023-37208: Falta de advertencia al abrir archivos Diagcab [medio].
Al abrir archivos Diagcab, Firefox no advirtió al usuario que estos archivos pueden contener código malicioso.
CVE-2023-37211: errores de seguridad de la memoria corregidos en Firefox 115, Firefox ESR 102.13 y Thunderbird 102.13 [alto].
Errores de seguridad de la memoria presentes en Firefox 114, Firefox ESR 102.12 y Thunderbird 102.12. Algunos de estos errores mostraron evidencia de corrupción de memoria y suponemos que con suficiente esfuerzo algunos de estos podrían haber sido explotados para ejecutar código arbitrario.
CVE-2023-37201: Use-after-free en la generación de certificados WebRTC [alto].
Un atacante podría haber desencadenado una condición de use-after-free al crear una conexión WebRTC a través de HTTPS.
CVE-2023-37202: Posible use-after-free del compartimento libre en SpiderMonkey [alto].
Los envoltorios de compartimentos cruzados que envuelven un proxy con secuencias de comandos podrían haber causado que los objetos de otros compartimentos se almacenaran en el compartimento principal, lo que resultaría en un usse-after-free.
CVE-2023-37207: notificación de pantalla completa oculta [medio].
Un sitio web podría haber oscurecido la notificación de pantalla completa al usar una URL con un esquema manejado por un programa externo, como una URL mailto. Esto podría haber llevado a la confusión del usuario y posibles ataques de suplantación de identidad.
CVE-2023-37208: Falta de advertencia al abrir archivos Diagcab [medio].
Al abrir archivos Diagcab, Firefox no advirtió al usuario que estos archivos pueden contener código malicioso.
CVE-2023-37211: errores de seguridad de la memoria corregidos en Firefox 115, Firefox ESR 102.13 y Thunderbird 102.13 [alto].
Errores de seguridad de la memoria presentes en Firefox 114, Firefox ESR 102.12 y Thunderbird 102.12. Algunos de estos errores mostraron evidencia de corrupción de memoria y suponemos que con suficiente esfuerzo algunos de estos podrían haber sido explotados para ejecutar código arbitrario.
Productos afectados
- Firefox 114
- Firefox ESR 102.12
- Thunderbird 102.12
Riesgo
Alto
Soluciones
Los errores se corrigen en las siguientes versiones de producto:
- Firefox 115
- Firefox ESR 102.13
- Thunderbird 102.13
Referencias
Contacto
Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo csirt@seresco.es