Múltiples vulnerabilidades en Mozilla Firefox y Firefox ESR

Descripción

Se han encontrado múltiples vulnerabilidades graves en Mozilla Firefox y Mozilla Firefox ESR. Los usuarios malintencionados pueden explotar estas vulnerabilidades para provocar una denegación de servicio, falsificar la interfaz de usuario, obtener información confidencial, ejecutar código arbitrario, realizar ataques de scripts entre sitios, eludir las restricciones de seguridad y obtener privilegios.

1. Las vulnerabilidades de uso múltiple después de liberarse pueden explotarse remotamente para causar la denegación de servicio;
2. Una vulnerabilidad de uso después de la liberación en Web Workers puede explotarse remotamente para causar la denegación de servicio;
3. Las vulnerabilidades de desbordamiento de montón múltiples en WebAssembly se pueden explotar de forma remota para provocar la denegación de servicio;
4. Una vulnerabilidad de desbordamiento de entero en la biblioteca de Skia se puede explotar de forma remota para causar la denegación de servicio;
5. Una vulnerabilidad no especificada en WebExtentions se puede explotar de forma remota para eludir las restricciones de seguridad;
6. Una vulnerabilidad no especificada en Developer Tools se puede explotar de forma remota para obtener información sensible;
7. Una vulnerabilidad no especificada en el proceso de impresión se puede explotar de forma remota para eludir las restricciones de seguridad;
8. La violación de segregación de atributo de origen por un URL de Blob se puede explotar de forma remota para obtener información sensible;
9. Una vulnerabilidad no especificada puede explotarse remotamente para obtener información sensible;
10. Una vulnerabilidad no especificada puede explotarse remotamente para suplantar la interfaz de usuario;
11. Una vulnerabilidad no especificada se puede explotar de forma remota a través de una URL con formato especial para suplantar la interfaz de usuario;
12. Una aplicación inadecuada de los requisitos en los paneles de Developer Tool de una extensión se puede explotar de forma remota para obtener privilegios
13. Una aplicación inadecuada de los requisitos en la función browser.identity.launchWebAuthFlow se puede explotar de forma remota para obtener privilegios;
14. Un uso incorrecto de la cookie modificada HttpOnly se puede explotar de forma remota para eludir las restricciones de seguridad;
15. Una vulnerabilidad no especificada se puede explotar de forma remota a través de una solicitud de red de fondo especialmente diseñada para obtener información sensible;
16. Una aplicación inadecuada de los requisitos en WebExtensions se puede explotar de forma remota para eludir las restricciones de seguridad;
17. Una vulnerabilidad no especificada puede explotarse de forma remota a través de una URL especialmente diseñada para suplantar la interfaz de usuario;
18. Una vulnerabilidad no especificada en Activity Stream se puede explotar de forma remota para eludir las restricciones de seguridad;
19. Una vulnerabilidad no especificada en la vista del lector puede explotarse remotamente para realizar un ataque de cross site scripting (XSS);
20. Una vulnerabilidad no especificada en la barra de direcciones se puede explotar de forma remota a través de algunos caracteres tibetanos en varias fuentes para falsificar la interfaz de usuario;
21. Una posible vulnerabilidad de desbordamiento de enteros en la función DoCrypt de WebCrypto puede explotarse de forma remota a la denegación de servicio;
22. Varias vulnerabilidades de corrupción de memoria se pueden explotar de forma remota para ejecutar código arbitrario;

---

Detalles técnicos

Las vulnerabilidades (2) – (9), (11) – (16), (18), (19), (21) afectan solo a Mozilla Firefox.

Las vulnerabilidades (10), (20) afectan solo a las versiones OS X de Mozilla Firefox.

Notas informativas originales

• Mozilla Foundation Security Advisory 2018-02

• Mozilla Foundation Security Advisory 2018-03

Lista CVE

Leer más

Conozca las estadísticas de las vulnerabilidades que se propagan en su región statistics.securelist.com