Múltiples vulnerabilidades en Mozilla Firefox y Firefox ESR

Descripción

Se han encontrado múltiples vulnerabilidades graves en Firefox ESR y Firefox. Los usuarios malintencionados pueden explotar estas vulnerabilidades para provocar la denegación de servicio, eludir las restricciones de seguridad, falsificar la interfaz de usuario, realizar scripts entre sitios, obtener privilegios y ejecutar código arbitrario.

1. Una vulnerabilidad de uso después de libre puede ser explotada remotamente para causar denegación de servicio;
2. Una vulnerabilidad en Resource Timing API se puede explotar de forma remota a través de un error del servicio para eludir las restricciones de seguridad;
3. Una vulnerabilidad en el envoltorio de seguridad se puede explotar de manera remota a través del mecanismo expuesta expuesta de ObjectProps para eludir las restricciones de seguridad;
4. Un error en la representación del carácter 'i' en la barra de direcciones cat se puede explotar de forma remota a través de la falsificación de nombres de dominio para suplantar la interfaz de usuario;
5. Una vulnerabilidad relacionada con la representación de algunas fuentes se puede explotar de forma remota para eludir las restricciones de seguridad;
6. Una vulnerabilidad relacionada con los data: carga de URL se puede explotar de forma remota a través de la Política de seguridad de contenido para realizar scripts de sitios cruzados;
7. Una vulnerabilidad en el bloqueo mixto seguro se puede explotar de forma remota para eludir las restricciones de seguridad;
8. Una vulnerabilidad en Firefox Health Report se puede explotar localmente a través del ejecutable "pingsender" para obtener privilegios;
9. Una vulnerabilidad en SVG se puede explotar de forma remota mediante la configuración de cookies para eludir las restricciones de seguridad;
10. Una vulnerabilidad en Punycode se puede explotar de forma remota para suplantar la interfaz de usuario;
11. Una vulnerabilidad relacionada con el javascript: el pegado de URLS puede aprovecharse para realizar scripts auto-cross-site;
12. Una vulnerabilidad relacionada con el atributo de Política de Referencia puede explotarse a través de solicitudes de red para eludir las restricciones de seguridad;
13. Múltiples vulnerabilidades de corrupción de memoria que ocurren debido a fallas de seguridad de memoria pueden ser explotadas remotamente para ejecutar código arbitrario;

---

Detalles técnicos

La vulnerabilidad (8) solo afecta a Firefox para OS X y Linux. Otros sistemas operativos no se ven afectados.

La vulnerabilidad (13) solo afecta a Mozilla Firefox 56 y Firefox ESR 52.4.

Se produce una vulnerabilidad (7) al redireccionar de HTTPS a HTTP

Las vulnerabilidades 1,2,13 están relacionadas con Mozilla Firefox ESR.

Todas las vulnerabilidades están relacionadas con Mozilla Firefox.

Nota: estas vulnerabilidades no tienen ninguna calificación pública CVSS, por lo que la clasificación puede cambiarse por el momento.

Notas informativas originales

• Mozilla Foundation Security Advisory 2017-24

• Mozilla Foundation Security Advisory 2017-25

Lista CVE

Leer más

Conozca las estadísticas de las vulnerabilidades que se propagan en su región statistics.securelist.com