CSIRT Panamá Aviso 2020-04-06 Mozilla: Vulnerabilidades de seguridad corregidas en Firefox 74.0.1 y Firefox ESR 68.6.1

Posted By: VW507 April 7, 2020

Gravedad: Alta Vulnerabilidad: CVE-2020-6819 / CVE-2020-6820
Fecha de publicación: Marzo 6, 2020
Última revisión: Marzo 6, 2020
Portal: https://www.mozilla.org/en-US/security/advisories/mfsa2020-11/

Sistemas Afectados:
Vulnerabilidades de seguridad que afectan a:
• Firefox desde la versión 60.0 hasta la versión 74.0.
• Firefox ESR desde la versión 60.0 hasta la versión 60.9.0 y desde la versión 68.0 hasta la versión 68.6.0.

I. Descripción
Actualización de Mozilla referente a dos vulnerabilidades críticas que afectan a sus productos, versiones corregidas en Firefox 74.0.1 y Firefox ESR 68.6.1

II. Impacto
Vulnerabilidad: CVE-2020-6819
Debido a un error en memoria causado por una condición de carrera ejecutando el destructor “nsDocShell”, un atacante remoto podría crear un sitio web especialmente diseñado, engañar a la víctima para que lo visite y enviar el error de uso de memoria luego de ser liberada, logrando la ejecución de código arbitrario en el sistema y comprometiéndole.

Vulnerabilidad: CVE-2020-6820
Debido a un error en memoria causado por una condición de carrera al manejar “ReadableStream”, un atacante remoto podría crear un sitio web especialmente diseñado, engañar a la víctima para que lo visite y enviar el error de uso de memoria luego de ser liberada, logrando la ejecución de código arbitrario en el sistema y comprometiéndole.

III. Referencia a soluciones, herramientas e información

Para Firefox, actualizar a la versión 74.0.1. Para Firefox ESR, actualizar a la versión 68.6.1.
Fuentes:
• Mozilla.org. 3 de abril del 2020. Recopilado en: https://www.mozilla.org/en-US/security/advisories/mfsa2020-11/
• Common Vulnerabilities and Exposures (CVE). Recopilado en: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6819
• Common Vulnerabilities and Exposures (CVE). Recopilado en: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6820IV.
• CSIRT Chile. 4 de abril del 2020. Vulnerabilidades. Recopilado en: https://www.csirt.gob.cl/vulnerabilidades/9vsa20-00172-01/

Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Facebook: http://www.facebook.com/CSIRTPanama
Key ID: 16F2B124