Se corrigen graves errores en navegadores Chrome y Firefox

Google ha introducido múltiples correcciones de seguridad para la edición de escritorio de su navegador Chrome, y Mozilla también ha hecho lo mismo para Firefox y Firefox Extended Support Release. El gigante tecnológico corrigió un total de seis vulnerabilidades que afectaban a su navegador Chrome, correspondiente a la versión de escritorio. Cuatro de las seis […]

Google ha introducido múltiples correcciones de seguridad para la edición de escritorio de su navegador Chrome, y Mozilla también ha hecho lo mismo para Firefox y Firefox Extended Support Release.

El gigante tecnológico corrigió un total de seis vulnerabilidades que afectaban a su navegador Chrome, correspondiente a la versión de escritorio. Cuatro de las seis incidencias fueron clasificadas como de alta severidad. La más importante es una vulnerabilidad ‘use-after-free’ en la Autenticación Web (CVE-2020-6493), la cual fue encontrada por un investigador anónimo, recibiendo una recompensa de 20.000 dólares por el descubrimiento.

Las otras tres vulnerabilidades corresponden a otra vulnerabilidad ‘user-after-free’ en payments (CVE-2020-6496), una aplicación de políticas insuficiente en la herramienta de desarrollador (CVE-2020-6495), y por último la que se describe como la incorrecta seguridad en la interfaz gráfica de Google payments (CVE-2020-6494).

Mientras tanto, Mozilla introdujo soluciones para ocho errores encontrados en Firefox (corregido en la versión 77). Cinco de las ocho recibieron un puntaje de alta gravedad, tres de ellos daban permiso a que actores maliciosos ejecutaran código arbitrario en instalaciones vulnerables.

De acuerdo con Mozilla, las fallas clasificadas como de alta gravedad, son aquellas que permiten recopilar datos confidenciales de sitios en otras ventanas o inyectar datos o códigos en esos mismos sitios, todo a través de acciones de navegación normales.

Otras vulnerabilidades

Algunas de las vulnerabilidades también afectaron la versión Firefox ESR del navegador, que está destinado a grandes organizaciones y para lo cual también se lanzó una nueva compilación (ESR 68.9). La ronda de actualización también solucionó dos fallas clasificadas como vulnerabilidad
moderada y una de bajo riesgo.

La lista completa de los CVE, descubierta por una variedad de expertos, incluidos los propios desarrolladores de Mozilla, académicos de Finlandia e investigadores independientes, está disponible en los últimos avisos de seguridad de Mozilla para Firefox y Firefox ESR, respectivamente.

Mozilla también lanzó Thunderbird versión 68.9.0, corrigiendo cinco errores en los productos del cliente de correo electrónico: cuatro de las mismas vulnerabilidades encontradas en los navegadores, más su propia vulnerabilidad de alto nivel que podría conducir a la fuga de
información.