Firefox y Chrome corrigen varias vulnerabilidades importantes esta semana
Los navegadores de Google y Mozilla han solventado catorce incidencias, una gran parte de ellas catalogadas como de severidad alta.
Google ha corregido un total de seis vulnerabilidades que afectan a su navegador Google Chrome en su versión de escritorio, de las cuales cuatro han sido clasificadas como severidad alta. La más importante es una vulnerabilidad ‘use-after-free’ en WebAuthentication (CVE-2020-6493). El investigador que la detectó ha sido recompensado con 20.000 dólares. Las otras tres vulnerabilidades corresponden a otra vulnerabilidad ‘user-after-free’ en payments (CVE-2020-6496), una aplicación de políticas insuficiente en la herramienta de desarrollador (CVE-2020-6495), y por último la que se describe como la incorrecta seguridad en la interfaz gráfica de Google payments (CVE-2020-6494).
Las dos vulnerabilidades restantes han sido catalogadas de nivel medio, se trata de una aplicación de políticas insuficiente en Omnibox y una incorrecta seguridad en la interfaz gráfica en la pantalla de progresos.
Por otra parte Mozilla corrige ocho errores encontrados entre Firefox y Firefox ESR. De ellas, cinco están catalogadas como de severidad alta y, dependiendo del problema, puede llevar a la filtración de claves privadas o incluso a la ejecución remota de código.
La lista de vulnerabilidades que se parchean en Firefox es la siguiente:
Timing attack en la firma DSA de la librería NSS, severidad alta (CVE-2020-12399)
User-after-free en SharedWorkerService, severidad alta (CVE-2020-12405)
Confusión en el JavaScript type con NativeTypes, severidad alta (CVE-2020-12406)
Filtración de memoria GPU en el uso de las directivas CSS border-image en WebRender (CVE-2020-12407)
Suplantación de URL cuando se utilizan direcciones IP (CVE-2020-12408)
Suplantación de URL con caracteres Unicode (CVE-2020-12409)
Errores de seguridad de memoria corregidos en Firefox 77 y Firefox ESR 68.9, ambas de severidad alta (CVE-2020-12410 y CVE-2020-12411)
Ver información original al respecto en Fuente>
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.