Descripción
Se han encontrado múltiples vulnerabilidades graves en Mozilla Thunderbird. Los usuarios malintencionados pueden explotar estas vulnerabilidades para eludir las restricciones de seguridad, provocar una denegación de servicio, obtener información confidencial y ejecutar código arbitrario.
A continuación hay una lista completa de vulnerabilidades
- Los errores en el manejo de la adopción de nodos pueden aprovecharse para manipular eventos DOM y eliminar elementos de audio;
- Un manejo inadecuado de eventos en elementos de marquesina se puede explotar de forma remota para eludir las restricciones de seguridad (Política de seguridad de contenido) y permitir JavaScript en línea;
- La corrupción de la memoria en libGLES se puede explotar remotamente para causar una denegación de servicio;
- La vulnerabilidad de uso después de la liberación se puede explotar de forma remota para causar una denegación de servicio al manipular subárboles DOM en el Editor;
- Los errores en el manejo de la carga mediante imágenes SVG se pueden explotar de forma remota para eludir las restricciones de seguridad mediante el uso de datos: URL;
- La fuga de información de origen cruzado en átomos compartidos se puede explotar de forma remota para obtener información confidencial (por ejemplo, nombres de usuario incrustados en código JavaScript);
- Un bloqueo en EnumerateSubDocuments se puede explotar remotamente mediante la adición o eliminación de sub documentos para causar una denegación de servicio;
- Las vulnerabilidades de corrupción de memoria se pueden explotar de forma remota para ejecutar código arbitrario.
NB: esta vulnerabilidad no tiene una calificación pública de CVSS, por lo que la calificación puede cambiarse por el tiempo.
NB: En este momento, Mozilla acaba de reservar números CVE para estas vulnerabilidades. La información puede cambiarse pronto.
Notas informativas originales
Lista CVE
Leer más
Conozca las estadísticas de las vulnerabilidades que se propagan en su región statistics.securelist.com