Mozilla ha lanzado un conjunto de actualizaciones de seguridad para su navegador Firefox y cliente de correo Thunderbird que corrige varias vulnerabilidades entre ellas una de severidad alta.
Productos Afectados:
- Firefox < 126
- Thunderbird < 115.11
Impacto de la vulnerabilidad:
Se ha asignado el identificador CVE-2024-4367 para la vulnerabilidad de severidad alta, esta vulnerabilidad podría permitir la ejecución arbitraria de JavaScript debido a la falta de comprobación durante el proceso de renderizado de fuentes tipográficas en PDF.js. Un actor malicioso podría aprovechar esta vulnerabilidad para cargar un PDF con código malicioso que le permitiría realizar la ejecución arbitraria de código JavaScript en el contexto de PDF.js en el equipo de la víctima.
Existe una prueba de concepto (PoC) liberada al público.
Recomendación:
Actualizar Mozilla Firefox y Thunderbird a la última versión disponible.
Referencias:
https://www.mozilla.org/en-US/security/advisories/mfsa2024-23/
https://codeanlabs.com/blog/research/cve-2024-4367-arbitrary-js-execution-in-pdf-js/