ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

KLA10525
Múltiples vulnerabilidades en Mozilla Firefox, Mozilla Firefox ESR, Mozilla Thunderbird
Actualizado: 07/05/2018
Fecha de detección
?
03/31/2015
Nivel de gravedad
?
Crítica
Descripción

Se han encontrado múltiples vulnerabilidades serias en Mozilla Firefox antes de 37.0, Mozilla Firefox ESR 31.x antes de 31.6, Mozilla Thunderbird anterior a 31.6. Los usuarios malintencionados pueden explotar estas vulnerabilidades para ejecutar código arbitrario, provocar una denegación de servicio (corrupción de la memoria del montón) y eludir un requisito de confirmación del usuario previsto.

A continuación hay una lista completa de vulnerabilidades

  1. Recurso inapropiado: restricciones de URL, que pueden llevar a la ejecución de código JavaScript arbitrario para eludir la Política de Mismo Origen;
  2. Múltiples vulnerabilidades no especificadas en el motor del navegador pueden explotarse a través de vectores desconocidos;
  3. La falta de cumplimiento de la sesión HTTPS para instalaciones de complementos de peso liviano en Mozilla Firefox antes de 37.0 puede llevar a ataques de hombre en el medio;
  4. La implementación de QCMS en Mozilla Firefox puede explotarse a través de una imagen que se maneja incorrectamente durante la transformación;
  5. La función webrtc :: VPMContentAnalysis :: Release en la implementación de WebRTC en Mozilla Firefox antes de 37.0 puede explotarse a través de vectores no especificados;
  6. La implementación de navigator.sendBeacon se puede explotar a través de un sitio web diseñado;
  7. La implementación Off Main Thread Compositing (OMTC) en Mozilla Firefox antes de la 37.0 puede explotarse a través de vectores que activan la representación del contenido de gráficos 2D;
  8. La función HTMLSourceElement :: BindToTree en Mozilla Firefox before 37.0 se puede explotar a través de un documento HTML elaborado que contiene un elemento SOURCE.
Productos afectados

Mozilla Firefox antes de 37.0
Mozilla Firefox ESR 31.x antes de 31.6
Mozilla Thunderbird antes de 31.6

Solución

Actualización a la última versión
Obtener Mozilla Thunderbird
Obtén Mozilla Firefox ESR
Obtener Mozilla Firefox

Notas informativas originales

Mozilla Foundation Security Advisories

Impactos
?
WLF 
[?]

ACE 
[?]

OSI 
[?]

DoS 
[?]
Productos relacionados
Mozilla Thunderbird
Mozilla Firefox ESR
Mozilla Firefox
CVE-IDS
?

CVE-2015-0804
CVE-2015-0805
CVE-2015-0806
CVE-2015-0807
CVE-2015-0808
CVE-2015-0810
CVE-2015-0811
CVE-2015-0812
CVE-2015-0813
CVE-2015-0814
CVE-2015-0815
CVE-2015-0816


Enlace al original