Mozilla ha lanzado dos actualizaciones de seguridad para corregir dos vulnerabilidades zero-day en el navegador web Firefox que se descubrieron durante el desarrollo de Pwn2Own que se celebró en Vancouver 2024.
Manfred Paul (@_manfp) ganó un premio de $100,000 y 10 puntos Master of Pwn después de explotar un error de escritura fuera de límites (OOB) (CVE-2024-29944) para obtener la ejecución remota de código y escapar del sandbox de Mozilla Firefox usando una debilidad de función peligrosa expuesta (CVE-2024-29943).
Mozilla describe la primera vulnerabilidad como una ejecución privilegiada de JavaScript a través de controladores de eventos que podría permitir a un atacante ejecutar código arbitrario en el proceso principal del navegador web Firefox Desktop.
La segunda vulnerabilidad puede permitir a los atacantes acceder a un objeto JavaScript fuera de límites aprovechando la eliminación de verificación de límites basada en rango en sistemas vulnerables.
"Un atacante pudo realizar una lectura o escritura fuera de límites en un objeto JavaScript engañando a la eliminación de verificación de límites basada en rango", explicó Mozilla.
Mozilla corrigió las fallas de seguridad en Firefox 124.0.1 y Firefox ESR 115.9.1 para bloquear posibles ataques de ejecución remota de código dirigidos a navegadores web sin parche en dispositivos de escritorio.
Las dos vulnerabilidades de seguridad se parchearon solo un día después de que Manfred Paul las explotara y las informara en el concurso de piratería Pwn2Own.