ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

KLA10654
Múltiples vulnerabilidades en Mozilla Firefox y Firefox ESR
Actualizado: 07/05/2018
Fecha de detección
?
08/27/2015
Nivel de gravedad
?
Crítica
Descripción

Se han encontrado múltiples vulnerabilidades graves en Firefox. Los usuarios malintencionados pueden explotar estas vulnerabilidades para causar la denegación de servicio, eludir las restricciones de seguridad o ejecutar código arbitrario.

A continuación hay una lista completa de vulnerabilidades

  1. La vulnerabilidad de uso después de la liberación se puede explotar remotamente a través de una página web especialmente diseñada para causar denegación de servicio o ejecutar código arbitrario;
  2. La falta de restricciones en el mecanismo de instalación de complementos se puede explotar de forma remota a través de una página web especialmente diseñada para eludir las restricciones de seguridad.

Detalles técnicos

(1) puede ser explotado a través de un elemento <canvas> especialmente diseñado. Se produce cuando el evento de cambio de tamaño interactúa con los cambios de estilo, lo que provoca la recreación de la referencia de lienzo original.

Normalmente, cuando el usuario ingresa la URL a un complemento, las advertencias se pasan por alto porque es el resultado de la acción directa del usuario. data: URL podría ser manipulado para simular la entrada directa del usuario para explotar (2) . También se puede falsificar la URL para manipular al usuario y creer falsamente que la instalación fue iniciada por un sitio confiable.

Productos afectados

Versiones de Mozilla Firefox anteriores a 40.0.3
Versiones de ESR de Mozilla Firefox anteriores a 38.2.1

Solución

Actualiza a la última versión
Obtén Firefox ESR
Obtener Firefox

Notas informativas originales

MFSA-2015-94
MFSA-2015-95

Impactos
?
ACE 
[?]

SB 
[?]

DoS 
[?]
Productos relacionados
Mozilla Firefox ESR
Mozilla Firefox
CVE-IDS
?

CVE-2015-4497
CVE-2015-4498


Enlace al original