Kaspersky Threats

Fecha de detección

?

06/07/2016

Nivel de gravedad

?

Crítica

Descripción

Se han encontrado múltiples vulnerabilidades serias en Mozilla Firefox. Los usuarios malintencionados pueden explotar estas vulnerabilidades para eludir las restricciones de seguridad, ejecutar código arbitrario, elevar los privilegios, denegar el servicio, realizar XSS u obtener información confidencial.

A continuación hay una lista completa de vulnerabilidades:

Los errores de seguridad de la memoria pueden explotarse para ejecutar código arbitrario;
El análisis incorrecto de fragmentos de HTML5 se puede explotar de forma remota a través de contenido web especialmente diseñado para causar la denegación de servicio;
La eliminación incorrecta del modelo de objetos del documento (DOM) puede explotarse a través de elementos de tabla especialmente creados creados dentro del editor para causar la denegación de servicio;
Una vulnerabilidad desconocida puede explotarse de forma remota a través de un elemento <select> especialmente diseñado para suplantar el contenido de la barra de direcciones;
Una vulnerabilidad desconocida en la biblioteca de gráficos ANGLE se puede explotar de forma remota para provocar la denegación de servicio (Windows);
Una vulnerabilidad desconocida puede explotarse de forma remota a través de datos de URI especialmente diseñados para eludir algunas protecciones de políticas de origen similar;
No locked para escribir archivos en el actualizador de Mozilla se puede explotar localmente a través de una aplicación especialmente diseñada para escalar privilegios (Windows);
El procesamiento inadecuado de las solicitudes de permisos se puede explotar de forma remota a través de una página web especialmente diseñada para obtener permisos, como la geolocalización o el acceso a micrófonos;
Una vulnerabilidad desconocida puede explotarse a través de solicitudes especialmente diseñadas para suplantación de identidad, clickjacking y para causar denegación de servicio;
Una vulnerabilidad desconocida puede explotarse mediante un ataque de huellas dactilares a la divulgación de información;
La mediación inadecuada de las solicitudes de red sin verificar contra la Política de seguridad de contenido (CSP) en el complemento de Java se puede explotar de forma remota a través de un sitio web especialmente diseñado para realizar un ataque XSS.

Detalles técnicos

Vulnerabilidad (2) causada por un análisis incorrecto de fragmentos de HTML5 en un contexto extranjero, como en un nodo <svg>.

Vulnerabilidad (5) causada por una verificación de tamaño incorrecta al escribir en una matriz durante algunas operaciones de sombreado de WebGL.

La vulnerabilidad (6) se puede explotar para establecer valor de location.host a una cadena arbitraria.

La vulnerabilidad (7) se relaciona con los archivos extraídos por el actualizador de Mozilla desde un archivo MAR. Estos archivos no están bloqueados para escritura y pueden sobrescribirse por otros procesos mientras se ejecuta el actualizador.

Para explotar la vulnerabilidad (8) el usuario malicioso debe realizar una serie de permisos en un corto período de tiempo. Como resultado, las notificaciones de permiso pueden mostrar el icono de la solicitud de permiso incorrecta.

La vulnerabilidad (9) puede explotarse cuando las solicitudes de emparejamiento de pantalla completa y de bloqueo de puntero se realizan en combinación con las ventanas de cierre. Como resultado, se puede crear un puntero de bloqueo dentro de una ventana de pantalla completa sin permiso del usuario y no se puede cancelar sin terminar el navegador.

La vulnerabilidad (10) se debe a que el contenido web puede utilizar pseudoclases de CSS para filtrar información sobre los complementos que están instalados pero deshabilitados. Se puede aprovechar para revelar todos los complementos instalados.

Productos afectados

Versiones de Mozilla Firefox anteriores a 47
Versiones de Mozilla Firefox ESR anteriores a 45.2

Solución

Actualiza a la última versión
Obtén Firefox ESR
Obtener Firefox

Notas informativas originales

Impactos

?

ACE

[?]

OSI

[?]

XSSCSS

[?]

SB

[?]

PE

[?]

DoS

[?]

CVE-IDS

?

CVE-2016-2834
CVE-2016-2833
CVE-2016-2832
CVE-2016-2831
CVE-2016-2829
CVE-2016-2828
CVE-2016-2826
CVE-2016-2825
CVE-2016-2824
CVE-2016-2822
CVE-2016-2821
CVE-2016-2819
CVE-2016-2818
CVE-2016-2815

Enlace al original

Conozca las estadísticas de las vulnerabilidades que se propagan en su región.

Fecha de detección ?	06/07/2016
Nivel de gravedad ?	Crítica
Descripción	Se han encontrado múltiples vulnerabilidades serias en Mozilla Firefox. Los usuarios malintencionados pueden explotar estas vulnerabilidades para eludir las restricciones de seguridad, ejecutar código arbitrario, elevar los privilegios, denegar el servicio, realizar XSS u obtener información confidencial. A continuación hay una lista completa de vulnerabilidades: Los errores de seguridad de la memoria pueden explotarse para ejecutar código arbitrario; El análisis incorrecto de fragmentos de HTML5 se puede explotar de forma remota a través de contenido web especialmente diseñado para causar la denegación de servicio; La eliminación incorrecta del modelo de objetos del documento (DOM) puede explotarse a través de elementos de tabla especialmente creados creados dentro del editor para causar la denegación de servicio; Una vulnerabilidad desconocida puede explotarse de forma remota a través de un elemento <select> especialmente diseñado para suplantar el contenido de la barra de direcciones; Una vulnerabilidad desconocida en la biblioteca de gráficos ANGLE se puede explotar de forma remota para provocar la denegación de servicio (Windows); Una vulnerabilidad desconocida puede explotarse de forma remota a través de datos de URI especialmente diseñados para eludir algunas protecciones de políticas de origen similar; No locked para escribir archivos en el actualizador de Mozilla se puede explotar localmente a través de una aplicación especialmente diseñada para escalar privilegios (Windows); El procesamiento inadecuado de las solicitudes de permisos se puede explotar de forma remota a través de una página web especialmente diseñada para obtener permisos, como la geolocalización o el acceso a micrófonos; Una vulnerabilidad desconocida puede explotarse a través de solicitudes especialmente diseñadas para suplantación de identidad, clickjacking y para causar denegación de servicio; Una vulnerabilidad desconocida puede explotarse mediante un ataque de huellas dactilares a la divulgación de información; La mediación inadecuada de las solicitudes de red sin verificar contra la Política de seguridad de contenido (CSP) en el complemento de Java se puede explotar de forma remota a través de un sitio web especialmente diseñado para realizar un ataque XSS. Detalles técnicos Vulnerabilidad (2) causada por un análisis incorrecto de fragmentos de HTML5 en un contexto extranjero, como en un nodo <svg>. Vulnerabilidad (5) causada por una verificación de tamaño incorrecta al escribir en una matriz durante algunas operaciones de sombreado de WebGL. La vulnerabilidad (6) se puede explotar para establecer valor de location.host a una cadena arbitraria. La vulnerabilidad (7) se relaciona con los archivos extraídos por el actualizador de Mozilla desde un archivo MAR. Estos archivos no están bloqueados para escritura y pueden sobrescribirse por otros procesos mientras se ejecuta el actualizador. Para explotar la vulnerabilidad (8) el usuario malicioso debe realizar una serie de permisos en un corto período de tiempo. Como resultado, las notificaciones de permiso pueden mostrar el icono de la solicitud de permiso incorrecta. La vulnerabilidad (9) puede explotarse cuando las solicitudes de emparejamiento de pantalla completa y de bloqueo de puntero se realizan en combinación con las ventanas de cierre. Como resultado, se puede crear un puntero de bloqueo dentro de una ventana de pantalla completa sin permiso del usuario y no se puede cancelar sin terminar el navegador. La vulnerabilidad (10) se debe a que el contenido web puede utilizar pseudoclases de CSS para filtrar información sobre los complementos que están instalados pero deshabilitados. Se puede aprovechar para revelar todos los complementos instalados.
Productos afectados	Versiones de Mozilla Firefox anteriores a 47 Versiones de Mozilla Firefox ESR anteriores a 45.2
Solución	Actualiza a la última versión Obtén Firefox ESR Obtener Firefox
Notas informativas originales	Mozilla Foundation Security Advisory 2016-50 Mozilla Foundation Security Advisory 2016-49 Mozilla Foundation Security Advisory 2016-55 Mozilla Foundation Security Advisory 2016-57 Mozilla Foundation Security Advisory 2016-56 Mozilla Foundation Security Advisory 2016-59 Mozilla Foundation Security Advisory 2016-58 Mozilla Foundation Security Advisory 2016-54 Mozilla Foundation Security Advisory 2016-60 Mozilla Foundation Security Advisory 2016-61 Mozilla Foundation Security Advisory 2016-53 Mozilla Foundation Security Advisory 2016-52 Mozilla Foundation Security Advisory 2016-51
Impactos ?	ACE [?] OSI [?] XSSCSS [?] SB [?] PE [?] DoS [?]
CVE-IDS ?	CVE-2016-2834 CVE-2016-2833 CVE-2016-2832 CVE-2016-2831 CVE-2016-2829 CVE-2016-2828 CVE-2016-2826 CVE-2016-2825 CVE-2016-2824 CVE-2016-2822 CVE-2016-2821 CVE-2016-2819 CVE-2016-2818 CVE-2016-2815
	Enlace al original
	Conozca las estadísticas de las vulnerabilidades que se propagan en su región.

KLA10822Múltiples vulnerabilidades en Mozilla Firefox y Firefox ESR

KLA10822
Múltiples vulnerabilidades en Mozilla Firefox y Firefox ESR