Firefox y Chrome corrigen varias vulnerabilidades importantes esta semana

Los navegadores de Google y Mozilla han solventado catorce incidencias, una gran parte de ellas catalogadas como de severidad alta.
Google ha corregido un total de seis vulnerabilidades que afectan a su navegador Google Chrome en su versión de escritorio, de las cuales cuatro han sido clasificadas como severidad alta. La más importante es una vulnerabilidad ‘use-after-free’ en WebAuthentication (CVE-2020-6493). El investigador que la detectó ha sido recompensado con 20.000 dólares. Las otras tres vulnerabilidades corresponden a otra vulnerabilidad ‘user-after-free’ en payments (CVE-2020-6496), una aplicación de políticas insuficiente en la herramienta de desarrollador (CVE-2020-6495), y por último la que se describe como la incorrecta seguridad en la interfaz gráfica de Google payments (CVE-2020-6494).
Las dos vulnerabilidades restantes han sido catalogadas de nivel medio, se trata de una aplicación de políticas insuficiente en Omnibox y una incorrecta seguridad en la interfaz gráfica en la pantalla de progresos.
Por otra parte Mozilla corrige ocho errores encontrados entre Firefox y Firefox ESR. De ellas, cinco están catalogadas como de severidad alta y, dependiendo del problema, puede llevar a la filtración de claves privadas o incluso a la ejecución remota de código.
La lista de vulnerabilidades que se parchean en Firefox es la siguiente:
  • Timing attack en la firma DSA de la librería NSS, severidad alta (CVE-2020-12399)
  • User-after-free en SharedWorkerService, severidad alta (CVE-2020-12405)
  • Confusión en el JavaScript type con NativeTypes, severidad alta (CVE-2020-12406)
  • Filtración de memoria GPU en el uso de las directivas CSS border-image en WebRender (CVE-2020-12407)
  • Suplantación de URL cuando se utilizan direcciones IP (CVE-2020-12408)
  • Suplantación de URL con caracteres Unicode (CVE-2020-12409)
  • Errores de seguridad de memoria corregidos en Firefox 77 y Firefox ESR 68.9, ambas de severidad alta (CVE-2020-12410 y CVE-2020-12411)
Más información

Comentarios

Entradas populares de este blog

Presuntos narcotraficantes liberados por un ransomware

Metasploit y Windows 10: Creando un payload indetectable (Evadiendo software antivirus)

Diferencias entre mapa de calor, mapa de riesgos y matriz de riesgos