Mozilla soluciona 18 vulnerabilidades de seguridad que afectan al popular navegador web Firefox y al programa de correo Thunderbird.
Mozilla ha publicado Firefox 96, que soluciona 18 vulnerabilidades de seguridad en su navegador web y en el programa de correo Thunderbird. Nueve de las vulnerabilidades abordadas por la nueva versión están clasificadas como de alta gravedad, siendo la más grave un problema de condición de carrera rastreado como CVE-2022-22746.
"Una condición de carrera podría haber permitido eludir la notificación de pantalla completa, lo que podría haber llevado a una falsa ventana de pantalla completa a pasar desapercibida", se lee en el aviso publicado por Mozilla.
La vulnerabilidad sólo afecta a Firefox para sistemas operativos Windows.
Un atacante puede aprovechar la vulnerabilidad para saltarse la notificación de pantalla completa en máquinas Windows. Otro problema importante solucionado por Mozilla es la falsificación de pantalla completa en la ventana del navegador Firefox, rastreada como CVE-2022-22743. La vulnerabilidad puede permitir que una pestaña controlada por un atacante impida que el navegador salga del modo de pantalla completa cuando el usuario navega desde el interior de un iframe.
Otro problema corregido por la organización es un error que impide que una ventana emergente salga del modo de pantalla completa cuando se cambia el tamaño de la ventana emergente mientras se establece el modo de pantalla completa.
Otro problema corregido por Mozilla es un acceso a memoria desbordada que conduce a un fallo potencialmente explotable, el fallo ha sido rastreado como CVE-2022-22742.
"Al insertar texto en el modo de edición, algunos caracteres pueden provocar un acceso a la memoria desbordada que causa un fallo potencialmente explotable", continúa el aviso.
Las vulnerabilidades mencionadas fueron descubiertas por los investigadores Irvan Kurniawan.
Firefox 96 también solucionó un desbordamiento del búfer de la pila rastreado como CVE-2022-22738. La aplicación de un efecto de filtro CSS podría haber accedido a memoria desbordada, lo que podría dar lugar a un desbordamiento del búfer de la pila que causaría un fallo potencialmente explotable.
Otros fallos de alto riesgo corregidos en la última versión de Firefox son, registrados como CVE-2022-22740 y CVE-2022-22737 respectivamente, y una evasión de sandbox de iframe mediante XSLT, registrada como CVE-2021-4140.
La organización solucionó seis problemas de gravedad media en Firefox, entre ellos una evasión de sandbox y la falta de restricciones de URL al escanear códigos QR en Firefox para Android.
La organización de código abierto también ha corregido una serie de fallos de seguridad de memoria detectados en Firefox 96 y Firefox ESR 91.5 y Thunderbird 91.5 (CVE-2022-22751).
Fuente: https://securityaffairs.co/wordpress/126671/security/mozilla-firefox-96-release.html