Descripción
Se han encontrado múltiples vulnerabilidades graves en Firefox ESR y Firefox. Los usuarios malintencionados pueden explotar estas vulnerabilidades para provocar la denegación de servicio, falsificar la interfaz de usuario, eludir las restricciones de seguridad, obtener información confidencial y realizar scripts entre sitios.
A continuación se muestra una lista completa de vulnerabilidades:
- Una vulnerabilidad de uso después de la liberación relacionada con la API de obtención se puede explotar de forma remota para provocar la denegación de servicio;
- Una vulnerabilidad de uso después de liberación relacionada con los elementos de las aplicaciones de Internet enriquecidas accesibles (ARIA) se puede explotar de forma remota para provocar la denegación de servicio;
- Una vulnerabilidad de uso después de libre puede ser explotada para causar denegación de servicio;
- Una vulnerabilidad de desbordamiento de búfer relacionada con la biblioteca de gráficos ANGLE se puede aprovechar para causar la denegación de servicio;
- Una vulnerabilidad de uso después de la liberación relacionada con TLS 1.2 d puede explotarse remotamente para causar la denegación de servicio;
- Una vulnerabilidad relacionada con blob: y data: las URL se pueden explotar de forma remota para eludir las restricciones de seguridad;
- Una vulnerabilidad relacionada con la representación de algunas fuentes OS X puede explotarse de forma remota para eludir las restricciones de seguridad;
- Una vulnerabilidad relacionada con la directiva Sandbox de seguridad de contenido (CSP) se puede explotar de forma remota para realizar scripts de sitios cruzados;
- Múltiples vulnerabilidades de corrupción de memoria que ocurren debido a fallas de seguridad de memoria pueden ser explotadas remotamente para ejecutar código arbitrario;
- Una vulnerabilidad no especificada puede explotarse remotamente para suplantar la interfaz de usuario;
- Una vulnerabilidad relacionada con la función Arrastrar y soltar puede ser explotada remotamente a través de contenido de página especialmente diseñado para leer archivos locales;
- Una vulnerabilidad relacionada con el analizador de JavaScript puede ser potencialmente explotada para causar denegación de servicio u obtener información sensible;
- Una vulnerabilidad no especificada en los datos: el protocolo puede explotarse de forma remota a través de páginas que contienen un iframe para falsificar la interfaz de usuario;
- Se pueden aprovechar varias vulnerabilidades relacionadas con la carga de WebExtension para eludir las restricciones de seguridad;
- Una vulnerabilidad relacionada con la implementación de AES-GCM en la API de WebCrypto se puede explotar de forma remota para obtener información sensible;
- Una vulnerabilidad relacionada con el mecanismo de envoltura de Xray se puede explotar de forma remota para suplantar la interfaz de usuario.
Detalles técnicos
La vulnerabilidad (2) solo afecta a Firefox para Android. Otros sistemas operativos no se ven afectados.
La vulnerabilidad (3) ocurre en modo de diseño al cambiar el tamaño de las imágenes.
La vulnerabilidad (7) solo afecta al sistema operativo OS X. Otros sistemas operativos no se ven afectados.
La vulnerabilidad (14) solo afecta a Firefox para Android. Otros sistemas operativos no se ven afectados.
La vulnerabilidad (15) solo afecta a las instalaciones con el multiproceso e10 desactivado.
Las vulnerabilidades 1-9 están relacionadas con Mozilla Firefox ESR.
Todas las vulnerabilidades están relacionadas con Mozilla Firefox.
NB: No todas las vulnerabilidades ya tienen la calificación CVSS, por lo que la calificación CVSS acumulativa puede no ser representativa.
NB: esta vulnerabilidad no tiene ninguna calificación pública CVSS, por lo que la clasificación puede cambiarse por el tiempo.
NB: En este momento, Mozilla acaba de reservar números CVE para estas vulnerabilidades. La información puede cambiarse pronto.
Notas informativas originales
Lista CVE
Leer más
Conozca las estadísticas de las vulnerabilidades que se propagan en su región statistics.securelist.com