Mozilla soluciona dos zero-day en el navegador Firefox
Ambos fueron descubiertos por Manfred Paul en el evento Pwn2Own celebrado en Vancouver el 20 y 21 de marzo
Tan solo un día después de ser reportadas, la organización que desarrolla Firefox ha corregido las dos vulnerabilidades encontradas en su código fuente.
La primera de ellas, catalogada con el CVE-2024–29943, permitiría a un atacante realizar una lectura o escritura fuera de los límites de un objeto JavaScript explotando la comprobación establecida usando un rango.
En este hilo de Twitter se puede ver una explicación detallada del fallo. Una optimización introducida hace tres meses, para evitar crear un array adicional en memoria al comprobar el número de propiedades de un objeto, utiliza un límite máximo que puede ser excedido provocando el acceso a memoria fuera del objeto.
La segunda, a la que se ha asignado el CVE-2024–29944, permite inyectar un manejador de eventos en un objeto privilegiado y ejecutar código JavaScript arbitrario en el proceso padre, consiguiendo escapar de la sandbox del navegador.
Las versiones de Firefox 124.0.1 y Firefox ESR 115.9.1 corrigen estos problemas de seguridad.
Por su descubrimiento Manfred Paul se embolsó un bounty de 100.000 dólares y 10 puntos del evento Pwn2Own, que acabaría ganando.
El de Mozilla no ha sido el único navegador víctima del hacker. Durante la competición consiguió también obtener ejecución remota de código en Safari, Google Chrome y Microsoft Edge.
Por el momento las vulnerabilidades explotadas en ellos no han sido corregidas, la organización da 90 días de margen para la publicación de los detalles sobre los fallos reportados.
Zero Day Initiative ha repartido un total de 1.132.500 dólares por los 29 zero-days descubiertos por los participantes del evento Pwn2Own 2024.
Durante el mismo se ha puesto a prueba la seguridad de los productos Adobe Reader, Windows 11, Microsoft SharePoint, Ubuntu Desktop, Oracle VirtualBox, Tesla Model 3, VMware ESXi y Docker Desktop, además de los navegadores mencionados.
Fuentes y más información:
- https://www.bleepingcomputer.com/news/security/mozilla-fixes-two-firefox-zero-day-bugs-exploited-at-pwn2own/
- https://www.mozilla.org/en-US/security/advisories/mfsa2024-15/#CVE-2024-29943
- https://twitter.com/maxpl0it/status/1771258714541978060
- https://www.bleepingcomputer.com/news/security/hackers-earn-1-132-500-for-29-zero-days-at-pwn2own-vancouver/
