Firefox y Chrome corrigen varias vulnerabilidades importantes esta semana
Los navegadores de Google y Mozilla han solventado catorce incidencias, una gran parte de ellas catalogadas como de severidad alta.
Google ha corregido un total de seis vulnerabilidades que afectan a su navegador Google Chrome en su versión de escritorio, de las cuales cuatro han sido clasificadas como severidad alta. La más importante es una vulnerabilidad ‘use-after-free’ en WebAuthentication (CVE-2020-6493). El investigador que la detectó ha sido recompensado con 20.000 dólares. Las otras tres vulnerabilidades corresponden a otra vulnerabilidad ‘user-after-free’ en payments (CVE-2020-6496), una aplicación de políticas insuficiente en la herramienta de desarrollador (CVE-2020-6495), y por último la que se describe como la incorrecta seguridad en la interfaz gráfica de Google payments (CVE-2020-6494).
Las dos vulnerabilidades restantes han sido catalogadas de nivel medio, se trata de una aplicación de políticas insuficiente en Omnibox y una incorrecta seguridad en la interfaz gráfica en la pantalla de progresos.
Por otra parte Mozilla corrige ocho errores encontrados entre Firefox y Firefox ESR. De ellas, cinco están catalogadas como de severidad alta y, dependiendo del problema, puede llevar a la filtración de claves privadas o incluso a la ejecución remota de código.
La lista de vulnerabilidades que se parchean en Firefox es la siguiente:
- Timing attack en la firma DSA de la librería NSS, severidad alta (CVE-2020-12399)
- User-after-free en SharedWorkerService, severidad alta (CVE-2020-12405)
- Confusión en el JavaScript type con NativeTypes, severidad alta (CVE-2020-12406)
- Filtración de memoria GPU en el uso de las directivas CSS border-image en WebRender (CVE-2020-12407)
- Suplantación de URL cuando se utilizan direcciones IP (CVE-2020-12408)
- Suplantación de URL con caracteres Unicode (CVE-2020-12409)
- Errores de seguridad de memoria corregidos en Firefox 77 y Firefox ESR 68.9, ambas de severidad alta (CVE-2020-12410 y CVE-2020-12411)
Más información
Fuente: WeLiveSecurity
Comentarios
Publicar un comentario