Una nueva vulnerabilidad de divulgación de información, CVE-2020-12418, fue descubierto en Mozilla Firefox. Descubierto por Cisco Talos, La vulnerabilidad puede explotarse engañando al usuario para que visite una página web especialmente diseñada a través del navegador.
En caso de un ataque exitoso, el actor de la amenaza podría usar memoria perdida para evitar ASLR (Dirección del diseño del espacio aleatorización). Si la falla se combina con otros errores, el atacante podría obtener la capacidad de ejecutar código arbitrario, los investigadores advierten.
"De acuerdo con nuestra política de divulgación coordinada, Cisco Talos trabajó con Mozilla para garantizar que estos problemas se resuelvan y que haya una actualización disponible para los clientes afectados,"La publicación del blog dice.
Vulnerabilidad de divulgación de información de Mozilla Firefox: CVE-2020-12418
La definición oficial de la vulnerabilidad es "Vulnerabilidad de divulgación de información mPath de URL de Mozilla Firefox (TALOS-2020-1088 / CVE-2020-12418)".
Según Cisco Talos:
Existe una vulnerabilidad de divulgación de información en la funcionalidad URL mPath de Mozilla Firefox Firefox Nightly Version 78.0a1 x64 y Firefox Release Version 76.0.2 x64. Un objeto URL especialmente diseñado puede causar una lectura fuera de los límites. Un atacante puede visitar una página web para activar esta vulnerabilidad..
El problema se ha probado en Mozilla Firefox Firefox Nightly Version 78.0a1 x64 y Mozilla Firefox Firefox Release Version 76.0.2 x64. Ambas versiones del navegador están afectadas.
En términos más técnicos, la vulnerabilidad está relacionada con el objeto URL. "Una página web maliciosa que utiliza un estado de objeto de URL adecuado puede perder la memoria del navegador que, en consecuencia, puede ayudar a un atacante a omitir ASLR y ejecutar código arbitrario,”Explican los investigadores.
Más información es disponible.
El mes pasado, Mozilla lanzado actualizaciones de seguridad que abordan ocho vulnerabilidades, cinco de los cuales calificados como de alto riesgo. Tres de los cinco defectos de alto riesgo podrían permitir la ejecución de código arbitrario. En el contexto de un navegador web, esto significa que cargar una página maliciosa podría conducir fácilmente a infecciones de malware en el sistema. Afortunadamente, estos errores fueron descubiertos por los propios desarrolladores de Mozilla.