Mozilla
ha publicado un boletín de seguridad (del MFSA 2017-08)
destinado a corregir la vulnerabilidad
crítica que afecta a sus navegadores web Firefox y Firefox ESR anunciada en el
concurso Pwn2Own.
Como ya describimos en nuestra
crónica del concurso Pwn2Own el equipo Chaitin Security Research Lab (@ChaitinTech) consiguió un
desbordamiento de entero en Mozilla Firefox (con CVE-2017-5428), concretamente en la función createImageBitmap().
En su aviso, Mozilla aclara que esta función se ejecuta en el contexto de la
sandbox por lo que requiere una segunda vulnerabilidad para lograr el
compromiso del equipo. Precisamente el equipo Chaitin en su demostración empleó
un búfer sin inicializar en el kernel de Windows para elevar sus privilegios y
conseguir el ataque exitoso. Lo que les permitió ganar 30.000 dólares.
Como ya anunciamos empezamos a
ver como los fabricantes publican actualizaciones para corregir los fallos
descubiertos. Mozilla no ha tardado en reaccionar y publica las versiones 52.0.1
de Firefox y Firefox ESR. Se encuentran disponibles para su descarga a través
de los canales habituales.
Más información:
Mozilla Foundation Security Advisory 2017-08
integer overflow in createImageBitmap()
una-al-dia (21/03/2017) El
Pwn2Own 2017 causa estragos en navegadores y sistemas operativos
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario