TLP:CLEAR   PAP:WHITE 
Aviso de seguridad de Mozilla para Firefox

Descripción
Aviso de seguridad de la Fundación Mozilla 2023-20. Vulnerabilidades de seguridad corregidas en Firefox 114.

Excepciones del certificado de secuestro de clics a través del retraso de procesamiento (CVE-2023-34414; alta).
A la página de error de los sitios con certificados TLS no válidos le faltaba el retraso de activación que usa Firefox para proteger las solicitudes y los cuadros de diálogo de permisos de los ataques que explotan los retrasos en el tiempo de respuesta humano.

Errores de seguridad de la memoria corregidos en Firefox 114 y Firefox ESR 102.12 (CVE-2023-34416; alta).
Algunos de estos errores mostraron evidencia de corrupción de memoria y suponemos que con suficiente esfuerzo algunos de estos podrían haber sido explotados para ejecutar código arbitrario.

Errores de seguridad de la memoria corregidos en Firefox 114 (CVE-2023-34417; alta).
Algunos de estos errores mostraron evidencia de corrupción de memoria y suponemos que con suficiente esfuerzo algunos de estos podrían haber sido explotados para ejecutar código arbitrario.

Omisión de aislamiento de sitios en sitios que permiten redireccionamientos abiertos a datos: URL (CVE-2023-34415; media).
Al elegir un proceso aislado del sitio para un documento cargado desde un data: URL que fue el resultado de una redirección, Firefox cargaría ese documento en el mismo proceso que el sitio que emitió la redirección. Esto eludió las protecciones de aislamiento del sitio contra ataques tipo Spectre en sitios que alojan una "redirección abierta". Firefox ya no sigue los redireccionamientos HTTP a datos: URL.
Productos afectados
Riesgo
Alto
Soluciones
Los errores de seguridad han sido corregidos en las actualizaciones Firefox 114 y Firefox ESR 102.12
Referencias
Publicación oficial
Contacto
Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo csirt@seresco.es