ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

KLA11109
Múltiples vulnerabilidades en Mozilla Firefox y Firefox ESR
Actualizado: 07/05/2018
Fecha de detección
?
09/28/2017
Nivel de gravedad
?
Crítica
Descripción

Se han encontrado múltiples vulnerabilidades graves en Firefox ESR y Firefox. Los usuarios malintencionados pueden explotar estas vulnerabilidades para provocar la denegación de servicio, falsificar la interfaz de usuario, eludir las restricciones de seguridad, obtener información confidencial y realizar scripts entre sitios.

A continuación se muestra una lista completa de vulnerabilidades:

  1. Una vulnerabilidad de uso después de la liberación relacionada con la API de obtención se puede explotar de forma remota para provocar la denegación de servicio;
  2. Una vulnerabilidad de uso después de liberación relacionada con los elementos de las aplicaciones de Internet enriquecidas accesibles (ARIA) se puede explotar de forma remota para provocar la denegación de servicio;
  3. Una vulnerabilidad de uso después de libre puede ser explotada para causar denegación de servicio;
  4. Una vulnerabilidad de desbordamiento de búfer relacionada con la biblioteca de gráficos ANGLE se puede aprovechar para causar la denegación de servicio;
  5. Una vulnerabilidad de uso después de la liberación relacionada con TLS 1.2 d puede explotarse remotamente para causar la denegación de servicio;
  6. Una vulnerabilidad relacionada con blob: y data: las URL se pueden explotar de forma remota para eludir las restricciones de seguridad;
  7. Una vulnerabilidad relacionada con la representación de algunas fuentes OS X puede explotarse de forma remota para eludir las restricciones de seguridad;
  8. Una vulnerabilidad relacionada con la directiva Sandbox de seguridad de contenido (CSP) se puede explotar de forma remota para realizar scripts de sitios cruzados;
  9. Múltiples vulnerabilidades de corrupción de memoria que ocurren debido a fallas de seguridad de memoria pueden ser explotadas remotamente para ejecutar código arbitrario;
  10. Una vulnerabilidad no especificada puede explotarse remotamente para suplantar la interfaz de usuario;
  11. Una vulnerabilidad relacionada con la función Arrastrar y soltar puede ser explotada remotamente a través de contenido de página especialmente diseñado para leer archivos locales;
  12. Una vulnerabilidad relacionada con el analizador de JavaScript puede ser potencialmente explotada para causar denegación de servicio u obtener información sensible;
  13. Una vulnerabilidad no especificada en los datos: el protocolo puede explotarse de forma remota a través de páginas que contienen un iframe para falsificar la interfaz de usuario;
  14. Se pueden aprovechar varias vulnerabilidades relacionadas con la carga de WebExtension para eludir las restricciones de seguridad;
  15. Una vulnerabilidad relacionada con la implementación de AES-GCM en la API de WebCrypto se puede explotar de forma remota para obtener información sensible;
  16. Una vulnerabilidad relacionada con el mecanismo de envoltura de Xray se puede explotar de forma remota para suplantar la interfaz de usuario.

Detalles técnicos

La vulnerabilidad (2) solo afecta a Firefox para Android. Otros sistemas operativos no se ven afectados.

La vulnerabilidad (3) ocurre en modo de diseño al cambiar el tamaño de las imágenes.

La vulnerabilidad (7) solo afecta al sistema operativo OS X. Otros sistemas operativos no se ven afectados.

La vulnerabilidad (14) solo afecta a Firefox para Android. Otros sistemas operativos no se ven afectados.

La vulnerabilidad (15) solo afecta a las instalaciones con el multiproceso e10 desactivado.

Las vulnerabilidades 1-9 están relacionadas con Mozilla Firefox ESR.

Todas las vulnerabilidades están relacionadas con Mozilla Firefox.

NB: No todas las vulnerabilidades ya tienen la calificación CVSS, por lo que la calificación CVSS acumulativa puede no ser representativa.

NB: esta vulnerabilidad no tiene ninguna calificación pública CVSS, por lo que la clasificación puede cambiarse por el tiempo.

NB: En este momento, Mozilla acaba de reservar números CVE para estas vulnerabilidades. La información puede cambiarse pronto.

Productos afectados

Versiones de Mozilla Firefox anteriores a 56
Versiones de ESR de Mozilla Firefox anteriores a 52.4

Solución

Actualiza a la última versión
Descargar Mozilla Firefox ESR
Descargar Mozilla Firefox

Notas informativas originales

MSFA 2017-22
MSFA 2017-21

Impactos
?
RLF 
[?]

SUI 
[?]

OSI 
[?]

XSSCSS 
[?]

SB 
[?]

DoS 
[?]
Productos relacionados
Mozilla Firefox ESR
Mozilla Firefox
CVE-IDS
?

CVE-2017-7811
CVE-2017-7820
CVE-2017-7822
CVE-2017-7821
CVE-2017-7816
CVE-2017-7815
CVE-2017-7813
CVE-2017-7812
CVE-2017-7817
CVE-2017-7810
CVE-2017-7823
CVE-2017-7825
CVE-2017-7814
CVE-2017-7805
CVE-2017-7824
CVE-2017-7819
CVE-2017-7818
CVE-2017-7793


Enlace al original