ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.
Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.
Fecha de detección
?
|
08/11/2015 |
Nivel de gravedad
?
|
Crítica |
Descripción
|
Se han encontrado múltiples vulnerabilidades serias en Mozilla Firefox. Los usuarios malintencionados pueden explotar estas vulnerabilidades para provocar la denegación de servicio, eludir las restricciones de seguridad, realizar ataques CSS, obtener privilegios o ejecutar código arbitrario. A continuación hay una lista completa de vulnerabilidades
Detalles técnicos Los errores nombrados en (1) son inexplotables en absoluto. Pero algunos pueden explotarse bajo ciertas circunstancias y algunos de ellos pueden causar la ejecución del código. (2) para explotar esta vulnerabilidad maliciosa puede diseñar archivos MP3 que cambian formatos de muestra. (3) se produce en la interacción de MediaStream con Web Audio API. Algunas propiedades no configurables en los objetos JS se pueden cambiar durante la interacción JSON. Que causa el bypass del mismo origen (4) . MPEG4 se puede usar para explotar (5) a través de un fragmento malicioso de 'saio', un parámetro de tamaño no válido en el fragmento ESDS o un archivo corrupto sin ningún tipo de artificio. El uso de un enlace duro por condición de carrera en el servicio de mantenimiento de Mozilla en Windows puede escribir un archivo de registro en una ubicación restringida. Si alguien puede ejecutar un programa privilegiado que utilizó el archivo de sobreescritura (6) puede activarse. (7) puede ser explotado por el nombre especialmente diseñado del archivo MAR (Mozilla ARchive). Además, para aprovechar esta vulnerabilidad, el usuario malintencionado debe crear dicho archivo con nombre y dejar que Updater lo utilice. Abrir la página de destino con el prefijo de feed: utilizando POST deshabilitando el bloqueador de contenido mixto para esa página (8) . (9) causado por un bloqueo, se produce cuando JavaScript cuando se utiliza la memoria compartida, no garantiza el acceso a las vistas Atomics o SharedArrayBuffer. Desbordamiento de pila en causas gdk-pixbuf (10) , que puede desencadenarse mediante escalado de mapa de bits. (11) causado por desbordamientos de buffer en Libvpx utilizados para decodificación de video WebN. (12) explorado a través de la inspección del código y no tiene un claro mecanismo de explotación. Pero vulnerable si se encuentra un mecanismo. La implementación de CSP en Firefox no coincide con las especificaciones. Según la especificación, se debe excluir blob, los datos y las URL del sistema de archivos al hacer coincidir el comodín. Pero la implementación culnerable actual permite estas URL en el caso de asterisco (*) comodín (13) . (14) puede activarse mediante una llamada recursiva .open () en un XMLHttpRequest en un SharedWorker. |
Productos afectados
|
Versiones de Mozilla Firefox anteriores a 40.0 |
Solución
|
Actualiza a la última versión |
Notas informativas originales
|
|
Impactos
?
|
ACE
[?] XSSCSS [?] SB [?] PE [?] DoS [?] |
CVE-IDS
?
|
CVE-2015-4473 |
Enlace al original |
|
Conozca las estadísticas de las vulnerabilidades que se propagan en su región. |