ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.
Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.
Fecha de detección
?
|
11/03/2015 |
Nivel de gravedad
?
|
Crítica |
Descripción
|
Se han encontrado múltiples vulnerabilidades serias en Mozilla Firefox. Los usuarios malintencionados pueden explotar estas vulnerabilidades para provocar la denegación de servicio, falsificar la interfaz de usuario, eludir las restricciones de seguridad, ejecutar código arbitrario u obtener información confidencial. A continuación hay una lista completa de vulnerabilidades
Detalles técnicos Vulnerabilidad (2) causada por el envío de mensajes de tipo 3 durante el intercambio de autenticación. que a su vez es causado por el campo de la estación de trabajo que se llena con el nombre de host del sistema que realiza la solicitud de autenticación HTTP basada en NTLM. Esta vulnerabilidad mitigó porque NTLM v1 se deshabilitó de manera predeterminada. El modo Lector deshabilita los scripts para las páginas renderizadas a través de una lista de contenido HTML permitido. Vulnerabilidad (3) causada por una lista blanca demasiado permisiva. Vulnerabilidad (4) causada por no restaurar la barra de direcciones cuando la ventana se vuelve a dibujar de pantalla completa a modo normal. El comportamiento vulnerable se puede desencadenar y luego explotar mediante secuencia de comandos. El archivo HTML guardado localmente podría usar archivos: URI para activar la descarga de archivos adicionales o la apertura de datos de perfil en caché sin conocimiento del usuario. (5) Cuando se crea un panel usando el SDK adicional, definir panel con script: falso se supone que deshabilita la ejecución del script. Pero se encontró que la secuencia de comandos en línea todavía se ejecutará. Este comportamiento causa vulnerabilidad (6) . los complementos servidos desde addons.mozilla.org no son vulnerables para (6) pero los sitios de terceros pueden serlo. La vulnerabilidad (7) causada por los espacios en blanco al final se evalúa de forma diferente al analizar IP en lugar de nombres de host alfanuméricos. Firefox puede registrarse para ser utilizado por el motor de búsqueda a través de Android. Cuando se inicia Firefox, la URL se puede ejecutar con los privilegios del sistema de Firefox si se usa el informe de fallos. Esto permite leer archivos de registro locales, potencialmente filtrando información privada. Esta vulnerabilidad (9) afecta solo a Firefox para Android en las versiones de Android 4.4 y anteriores. El impacto máximo para otros android es un bloqueo no explotable. Vulnerabilidad (11) desencadenada por solicitud de herramientas de accesibilidad para el índice de una fila de tabla mediante el valor NSAccessibilityIndexAttribute . Vulnerabilidad (14) causada por el abandono del proceso de análisis cuando se encuentra un carácter escapado afectado seguido de una navegación a la versión previamente analizada de la URL. Cuando el sitio permite la redirección de navegación para caracteres escapados, esto podría llevar a la extracción de tokens específicos del sitio. Vulnerabilidad (15) causada por el permiso para que el complemento de Java desasigne el envoltorio de JavaScript. Lo que lleva a un bloqueo de recolección de basura JavaScript. Vulnerabilidad (19) causada por errores en el análisis de cadenas de octetos. Este problema se corrigió en las versiones 3.16.2.1 y 3.19.4 de NSS enviadas en Firefox ESR y Firefox ESR, respectivamente, así como en NSS 3.20.1. Vulnerabilidad (20) causada por la falta de controles durante la asignación de memoria. Este problema se corrigió en NSPR 4.10.10. NSPR es un componente requerido de NSS. |
Productos afectados
|
Versiones de Mozilla Firefox anteriores a 42 |
Solución
|
Actualiza a la última versión |
Notas informativas originales
|
|
Impactos
?
|
SUI
[?] ACE [?] OSI [?] SB [?] DoS [?] |
CVE-IDS
?
|
CVE-2015-4513 |
Enlace al original |
|
Conozca las estadísticas de las vulnerabilidades que se propagan en su región. |