Mozilla corrige error que permite obtener privilegios de admin de Windows

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Mozilla lanzó una actualización de seguridad para abordar una vulnerabilidad de escalada de privilegios de alta gravedad que se encuentra en el Servicio de mantenimiento de Mozilla.

El Servicio de mantenimiento de Mozilla es un servicio opcional de Firefox y Thunderbird que hace posibles las actualizaciones de aplicaciones en segundo plano.

Esto brinda a los usuarios de Firefox una experiencia de actualizaciones perfecta en la que ya no es necesario que hagan clic en "Sí" en el cuadro de diálogo Control de cuentas de usuario (UAC) de Windows antes de actualizar su navegador web o cliente de correo electrónico.

Mozilla corrigió la falla de seguridad de escalada de privilegios rastreada como CVE-2022-22753 hoy, con el lanzamiento de Firefox 97.

La explotación exitosa en sistemas sin parches puede permitir a los atacantes escalar sus privilegios a derechos de cuenta NT AUTHORITY\SYSTEM (el nivel más alto de privilegios en un sistema Windows).

"Existía un error de tiempo de verificación de tiempo de uso en el servicio de mantenimiento (actualizador) que podría abusarse para otorgar a los usuarios acceso de escritura a un directorio arbitrario. Esto podría haberse usado para escalar al acceso al SYSTEM", explicó Mozilla.

"Este error solo afecta a Firefox en Windows. Otros sistemas operativos no se ven afectados".

Mozilla también dijo que Firefox 97 soluciona varios errores de seguridad de memoria encontrados por los desarrolladores y la comunidad de Mozilla en Firefox 96 y Firefox ESR 91.5.

"Algunos de estos errores mostraron evidencia de corrupción de memoria y suponemos que con suficiente esfuerzo algunos de estos podrían haber sido explotados para ejecutar código arbitrario", agregó Mozilla.

Firefox 97 también añade nuevas características y mejoras

El lanzamiento de hoy también viene con nuevas funciones, como soporte para el nuevo estilo de barras de desplazamiento en Windows 11 y correcciones, incluidas mejoras en la carga de fuentes del sistema macOS que hace que abrir y cambiar a nuevas pestañas sea más rápido.

Firefox 97 también elimina la compatibilidad con la generación directa de PostScript para imprimir en Linux, aunque la impresión en impresoras PostScript todavía está disponible como una opción admitida.

En diciembre, Mozilla también corrigió un error crítico de corrupción de memoria que afectaba a sus bibliotecas de criptografía de Servicios de Seguridad de Red (NSS) multiplataforma.

En los sistemas que ejecutan versiones vulnerables de Firefox, la explotación podría conducir a un desbordamiento de búfer, con un impacto que va desde bloqueos del programa y ejecución de código arbitrario hasta eludir el software de seguridad si se obtiene la ejecución del código.

Mozilla dijo en ese momento que todos los visores de PDF y clientes de correo electrónico que utilizan versiones NSS lanzadas desde octubre de 2012 para la verificación de firmas se verían afectados.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta