Múltiples vulnerabilidades en Mozilla Thunderbird

Descripción

Se han encontrado múltiples vulnerabilidades graves en Thunderbird. Los usuarios malintencionados pueden explotar estas vulnerabilidades para provocar una denegación de servicio, eludir las restricciones de seguridad ejecutar código arbitrario, obtener información confidencial y falsificar la interfaz de usuario.

A continuación hay una lista completa de vulnerabilidades:

1. Una vulnerabilidad de uso después de la liberación en WebSockets puede explotarse remotamente para causar la denegación de servicio;
2. Una vulnerabilidad de uso después de la liberación relacionada con el diseño de reconfiguración de un elemento de marquesina durante el cambio de tamaño de ventana se puede explotar de forma remota para provocar la denegación de servicio;
3. Una vulnerabilidad de uso después de liberación relacionada con la eliminación prematura de un nodo DOM del editor durante el cruce de árbol se puede explotar de forma remota para provocar la denegación de servicio;
4. Una vulnerabilidad de uso después de la liberación relacionada con la lectura de un observador de imágenes durante la reconstrucción de cuadros puede explotarse remotamente para causar la denegación de servicio;
5. Una vulnerabilidad de uso después de la liberación relacionada con la manipulación del DOM durante el evento de cambio de tamaño de un elemento de imagen puede explotarse remotamente para causar la denegación de servicio;
6. Una vulnerabilidad de desbordamiento de búfer en aplicaciones de Internet enriquecidas accesibles (ARIA) se puede explotar de forma remota para provocar la denegación de servicio;
7. Una vulnerabilidad de desbordamiento de búfer relacionada con el renderizador de imágenes que intenta pintar elementos SVG no visualizables puede explotarse remotamente para causar la denegación de servicio;
8. Una vulnerabilidad de lectura fuera de límites después de aplicar reglas de estilo a pseudo-elementos se puede aprovechar posiblemente para causar denegación de servicio u obtener información sensible;
9. Se pueden explotar remotamente las protecciones de políticas inadecuadas en páginas con iframes incrustados para obtener información sensible;
10. Un servidor incorrecto que sirve los archivos de una subruta en el dominio en el mecanismo de AppCache se puede explotar de forma remota para eludir las restricciones de seguridad;
11. Una vulnerabilidad de desbordamiento de búfer relacionada con la visualización de un certificado en el administrador de certificados se puede explotar de forma remota para provocar la denegación de servicio;
12. Varias vulnerabilidades en WindowsDllDetourPatcher se pueden explotar de forma remota para eludir las restricciones de seguridad;
13. Una vulnerabilidad desconocida en los datos: el protocolo se puede explotar de forma remota creando una representación de alerta modal sobre dominios arbitrarios después de la navegación de la página para falsificar la interfaz de usuario;
14. Una aplicación incorrecta de la política de seguridad de contenido (CSP) se puede explotar con un impacto desconocido;
15. Varias vulnerabilidades de corrupción de memoria en Mozilla Thunderbird 52.2 se pueden explotar de forma remota para ejecutar código arbitrario.

---

Detalles técnicos

La vulnerabilidad (12) afecta a los sistemas operativos de Windows. Otros sistemas operativos no se ven afectados.

Nota: Estas vulnerabilidades no tienen ninguna calificación pública de CVSS, por lo que la clasificación puede cambiarse por el tiempo.

NB: En este momento, Mozilla acaba de reservar números CVE para estas vulnerabilidades. La información puede cambiarse pronto.

Notas informativas originales

• Mozilla Security Bulletin

Lista CVE

Leer más

Conozca las estadísticas de las vulnerabilidades que se propagan en su región statistics.securelist.com