Firefox y Chrome corrigen varias vulnerabilidades importantes esta semana

Los navegadores de Google y Mozilla han solventado catorce incidencias, una gran parte de ellas catalogadas como de severidad alta.

Google ha corregido un total de seis vulnerabilidades que afectan a su navegador Google Chrome en su versión de escritorio, de las cuales cuatro han sido clasificadas como severidad alta. La más importante es una vulnerabilidad ‘use-after-free’ en WebAuthentication (CVE-2020-6493). El investigador que la detectó ha sido recompensado con 20.000 dólares. Las otras tres vulnerabilidades corresponden a otra vulnerabilidad ‘user-after-free’ en payments (CVE-2020-6496), una aplicación de políticas insuficiente en la herramienta de desarrollador (CVE-2020-6495), y por último la que se describe como la incorrecta seguridad en la interfaz gráfica de Google payments (CVE-2020-6494).

Las dos vulnerabilidades restantes han sido catalogadas de nivel medio, se trata de una aplicación de políticas insuficiente en Omnibox y una incorrecta seguridad en la interfaz gráfica en la pantalla de progresos.

Por otra parte Mozilla corrige ocho errores encontrados entre Firefox y Firefox ESR. De ellas, cinco están catalogadas como de severidad alta y, dependiendo del problema, puede llevar a la filtración de claves privadas o incluso a la ejecución remota de código.

La lista de vulnerabilidades que se parchean en Firefox es la siguiente:

  • Timing attack en la firma DSA de la librería NSS, severidad alta (CVE-2020-12399)
  • User-after-free en SharedWorkerService, severidad alta (CVE-2020-12405)
  • Confusión en el JavaScript type con NativeTypes, severidad alta (CVE-2020-12406)
  • Filtración de memoria GPU en el uso de las directivas CSS border-image en WebRender (CVE-2020-12407)
  • Suplantación de URL cuando se utilizan direcciones IP (CVE-2020-12408)
  • Suplantación de URL con caracteres Unicode (CVE-2020-12409)
  • Errores de seguridad de memoria corregidos en Firefox 77 y Firefox ESR 68.9, ambas de severidad alta (CVE-2020-12410 y CVE-2020-12411)

fuente: unaaldia.hispasec

Comments are closed.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies