ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.
Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.
Fecha de detección
?
|
09/22/2015 |
Nivel de gravedad
?
|
Crítica |
Descripción
|
Se han encontrado múltiples vulnerabilidades serias en Mozilla Firefox. Los usuarios malintencionados pueden explotar estas vulnerabilidades para provocar la denegación de servicio, eludir las restricciones de seguridad, obtener privilegios, falsificar la interfaz de usuario, afectar los archivos locales, ejecutar código arbitrario u obtener información confidencial. A continuación hay una lista completa de vulnerabilidades
Detalles técnicos La vulnerabilidad (2) se relaciona con la filtración de datos después del final de la matriz. Característica que conduce a la vulnerabilidad utilizada por Firefox OS y deshabilitada por defecto para otros sistemas operativos. (3) relacionado con la biblioteca de gestión del color QCMS y puede activarse mediante atributos específicos en el perfil ICC V4 de la imagen. Si la URL se pega con un protocolo desconocido, se muestra la URL pegada pero no se produce ninguna navegación. Otros atributos de barra de direcciones presentes antes de pegar URL continuarán renderizando. Que causa la vulnerabilidad (4) . Esta vulnerabilidad solo afecta a Firefox para Android. (5) causado por la posibilidad de realizar el actualizador de Mozilla para cargar archivos actualizados desde el directorio de trabajo que está bajo el control del usuario. Esta vulnerabilidad es real solo para sistemas Windows. La vulnerabilidad (7) ocurre solo cuando el depurador está en uso, pero puede ser potencialmente explotable. (8) permite falsificar URL pero los efectos potenciales se mitigan con restricciones del modo lector. (10) causado por la biblioteca nestegg y puede activarse a través de encabezados especialmente diseñados en video WebM. La vulnerabilidad (12) causó la biblioteca de gráficos de cairo cuando las superficies se crearon con una profundidad de color de 32 bits pero se mostraron en un sistema de profundidad de color de 16 bits. De esta forma, el atacante puede obtener información en la memoria después del montón de memoria de superficie de 16 bits. Esta vulnerabilidad solo puede explotarse en Linux. (13) se produce cuando la página web crea un proxy con scripts para la ventana con una referencia de controlador especialmente diseñada para la ventana interna. Vulnerabilidad (14) causada por la API de ECMAScript 5, que impone propiedades no configurables con lógica específica para cada API. Secuencia de comandos que eludiendo la API omite la protección y realiza cambios en las propiedades inmutables. (15) causado por la situación cuando la imagen cargada previamente se arrastra y suelta en el contenido después de la redirección. En este caso, la URL redirigida está disponible para los scripts. En algunas circunstancias, se puede generar la misma clave de caché para dos solicitudes de verificación previa en un sitio. Como resultado, la solicitud coincide con la clave en caché evitará la comprobación de CORS que conduce a (16) . (17) relacionado con los encabezados de Control de acceso, cuyos valores pueden reutilizarse incorrectamente si no se detectan en las respuestas CORS. (18) describe múltiples vulnerabilidades en Network Utils.cpp, ConvertFialogOptinos, nsUnicodeToUTF8 :: GetMaxLength, nsAttrAndChildArray :: GrowBy, XULContentSinkImpl :: AddText, AnimationThread, InitTextures y ReadbackResultWriterD3D11: Ejecutar. (19) causada por falta de comprobación de límites y asignación de memoria insuficiente en las partes de libGLES de la biblioteca de gráficos ANGLE utilizada para contenido WebGL y OpenGL. Esta vulnerabilidad solo afecta a los sistemas de Windows. performance.now () usa una resolución de un solo nanosegundo para el cronometraje, lo que hace posible el acceso de seguimiento al caché de último nivel y otra información sensible como la frecuencia del contador de Windows. La vulnerabilidad (20) causada por las circunstancias enumeradas anteriormente se resolvió reduciendo la resolución a 5 microsegundos. La frecuencia de contador de Windows afecta a sistemas que no son de Windows. |
Productos afectados
|
Versiones de Mozilla Firefox anteriores a 41 |
Solución
|
Actualiza a la última versión |
Notas informativas originales
|
|
Impactos
?
|
WLF
[?] SUI [?] ACE [?] OSI [?] SB [?] PE [?] DoS [?] |
CVE-IDS
?
|
CVE-2015-4476 |
Enlace al original |
|
Conozca las estadísticas de las vulnerabilidades que se propagan en su región. |