Mozilla publicó actualizaciones para sus navegadores web Firefox y Firefox ESR el pasado 20 de Mayo del 2022. El equipo de desarrollo de Thunderbird también publicó un parche para el cliente de correo electrónico. Las actualizaciones de seguridad parchean dos problemas de seguridad críticos en el navegador web Firefox y en Thunderbird.

Esta es la lista de productos actualizados:

  • Firefox 100.0.2
  • Firefox ESR 91.9.1
  • Firefox 100.3 para Android
  • Thunderbird 91.9.1

Las actualizaciones ya están disponibles, y la mayoría de las instalaciones en los equipos de los usuarios se actualizarán automáticamente. Los usuarios de computadoras de escritorio  y laptops que no quieran esperar hasta que eso ocurra pueden ejecutar una búsqueda manual de actualizaciones para acelerar la instalación.

  • Para actualizar manualmente en Firefox: seleccione Menú > Ayuda > Acerca de Firefox (Menu > Help > About Firefox). Firefox ejecuta una comprobación automática de las actualizaciones. Cualquier actualización que se encuentre se descargará e instalará.
  • Para actualizar manualmente en Thunderbird: seleccione Ayuda > Acerca de Thunderbird (Help > About Thunderbird). Thunderbird también buscará actualizaciones e instalará las que encuentre.

Nota: Firefox para Android se actualiza a través de Google Play. No hay ninguna opción para acelerar la entrega de actualizaciones en Android a través de Google Play.

Las notas oficiales de la versión incluyen una única entrada que confirma la naturaleza de seguridad de la actualización. Mozilla publicó un aviso de seguridad para todas las versiones afectadas del navegador web que proporciona detalles adicionales sobre los problemas:

Allí en el aviso de seguridad, los usuarios descubren que se han parcheado con la actualización dos problemas de seguridad. Ambos problemas tienen la calificación de gravedad crítica, la más alta disponible. Fueron reportados a Mozilla por Manfred Paul a través de Trend Micro’s Zero Day Initiative (Iniciativa Día Cero de Trend Micro).

  • CVE-2022-1802: Contaminación de prototipos en la implementación de Top-Level Await. Si un atacante fuera capaz de corromper los métodos de un objeto Array en JavaScript a través de la contaminación de prototipos, podría haber logrado la ejecución de código JavaScript controlado por el atacante en un contexto privilegiado.
  • CVE-2022-1529: Entrada no fiable utilizada en la indexación de objetos de JavaScript, lo que lleva a la contaminación de prototipos. Un atacante podría haber enviado un mensaje al proceso principal en el que el contenido se utilizara para hacer un doble índice en un objeto JavaScript, lo que llevaría a la contaminación del prototipo y, en última instancia, a la ejecución de JavaScript controlado por el atacante en el proceso principal privilegiado.

Los informes de errores vinculados están restringidos. Mozilla no menciona los ataques «in the wild» (léase: activo en el mundo real), que apuntan a estas vulnerabilidades.

Los usuarios de Firefox y Thunderbird pueden querer actualizar sus aplicaciones rápidamente para protegerlas contra los ataques dirigidos a estos problemas.

Fuente: GH