ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

KLA11090
Múltiples vulnerabilidades en Mozilla Thunderbird
Actualizado: 07/05/2018
Fecha de detección
?
08/18/2017
Nivel de gravedad
?
Crítica
Descripción

Se han encontrado múltiples vulnerabilidades graves en Thunderbird. Los usuarios malintencionados pueden explotar estas vulnerabilidades para provocar una denegación de servicio, eludir las restricciones de seguridad ejecutar código arbitrario, obtener información confidencial y falsificar la interfaz de usuario.

A continuación hay una lista completa de vulnerabilidades:

  1. Una vulnerabilidad de uso después de la liberación en WebSockets puede explotarse remotamente para causar la denegación de servicio;
  2. Una vulnerabilidad de uso después de la liberación relacionada con el diseño de reconfiguración de un elemento de marquesina durante el cambio de tamaño de ventana se puede explotar de forma remota para provocar la denegación de servicio;
  3. Una vulnerabilidad de uso después de liberación relacionada con la eliminación prematura de un nodo DOM del editor durante el cruce de árbol se puede explotar de forma remota para provocar la denegación de servicio;
  4. Una vulnerabilidad de uso después de la liberación relacionada con la lectura de un observador de imágenes durante la reconstrucción de cuadros puede explotarse remotamente para causar la denegación de servicio;
  5. Una vulnerabilidad de uso después de la liberación relacionada con la manipulación del DOM durante el evento de cambio de tamaño de un elemento de imagen puede explotarse remotamente para causar la denegación de servicio;
  6. Una vulnerabilidad de desbordamiento de búfer en aplicaciones de Internet enriquecidas accesibles (ARIA) se puede explotar de forma remota para provocar la denegación de servicio;
  7. Una vulnerabilidad de desbordamiento de búfer relacionada con el renderizador de imágenes que intenta pintar elementos SVG no visualizables puede explotarse remotamente para causar la denegación de servicio;
  8. Una vulnerabilidad de lectura fuera de límites después de aplicar reglas de estilo a pseudo-elementos se puede aprovechar posiblemente para causar denegación de servicio u obtener información sensible;
  9. Se pueden explotar remotamente las protecciones de políticas inadecuadas en páginas con iframes incrustados para obtener información sensible;
  10. Un servidor incorrecto que sirve los archivos de una subruta en el dominio en el mecanismo de AppCache se puede explotar de forma remota para eludir las restricciones de seguridad;
  11. Una vulnerabilidad de desbordamiento de búfer relacionada con la visualización de un certificado en el administrador de certificados se puede explotar de forma remota para provocar la denegación de servicio;
  12. Varias vulnerabilidades en WindowsDllDetourPatcher se pueden explotar de forma remota para eludir las restricciones de seguridad;
  13. Una vulnerabilidad desconocida en los datos: el protocolo se puede explotar de forma remota creando una representación de alerta modal sobre dominios arbitrarios después de la navegación de la página para falsificar la interfaz de usuario;
  14. Una aplicación incorrecta de la política de seguridad de contenido (CSP) se puede explotar con un impacto desconocido;
  15. Varias vulnerabilidades de corrupción de memoria en Mozilla Thunderbird 52.2 se pueden explotar de forma remota para ejecutar código arbitrario.

Detalles técnicos

La vulnerabilidad (12) afecta a los sistemas operativos de Windows. Otros sistemas operativos no se ven afectados.

Nota: Estas vulnerabilidades no tienen ninguna calificación pública de CVSS, por lo que la clasificación puede cambiarse por el tiempo.

NB: En este momento, Mozilla acaba de reservar números CVE para estas vulnerabilidades. La información puede cambiarse pronto.

Productos afectados

Versiones de Mozilla Thunderbird anteriores a 52.3

Solución

Actualiza a la última versión
Descargar Mozilla Thunderbird

Notas informativas originales

Mozilla Security Bulletin

Impactos
?
SUI 
[?]

ACE 
[?]

OSI 
[?]

SB 
[?]

DoS 
[?]
Productos relacionados
Mozilla Thunderbird
CVE-IDS
?

CVE-2017-7779
CVE-2017-7803
CVE-2017-7782
CVE-2017-7791
CVE-2017-7804
CVE-2017-7792
CVE-2017-7807
CVE-2017-7787
CVE-2017-7753
CVE-2017-7786
CVE-2017-7785
CVE-2017-7802
CVE-2017-7784
CVE-2017-7809
CVE-2017-7801
CVE-2017-7800


Enlace al original