ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

KLA11184
Múltiples vulnerabilidades en Mozilla Firefox y Firefox ESR
Actualizado: 07/05/2018
Fecha de detección
?
01/23/2018
Nivel de gravedad
?
Crítica
Descripción

Se han encontrado múltiples vulnerabilidades graves en Mozilla Firefox y Mozilla Firefox ESR. Los usuarios malintencionados pueden explotar estas vulnerabilidades para provocar una denegación de servicio, falsificar la interfaz de usuario, obtener información confidencial, ejecutar código arbitrario, realizar ataques de scripts entre sitios, eludir las restricciones de seguridad y obtener privilegios.

  1. Las vulnerabilidades de uso múltiple después de liberarse pueden explotarse remotamente para causar la denegación de servicio;
  2. Una vulnerabilidad de uso después de la liberación en Web Workers puede explotarse remotamente para causar la denegación de servicio;
  3. Las vulnerabilidades de desbordamiento de montón múltiples en WebAssembly se pueden explotar de forma remota para provocar la denegación de servicio;
  4. Una vulnerabilidad de desbordamiento de entero en la biblioteca de Skia se puede explotar de forma remota para causar la denegación de servicio;
  5. Una vulnerabilidad no especificada en WebExtentions se puede explotar de forma remota para eludir las restricciones de seguridad;
  6. Una vulnerabilidad no especificada en Developer Tools se puede explotar de forma remota para obtener información sensible;
  7. Una vulnerabilidad no especificada en el proceso de impresión se puede explotar de forma remota para eludir las restricciones de seguridad;
  8. La violación de segregación de atributo de origen por un URL de Blob se puede explotar de forma remota para obtener información sensible;
  9. Una vulnerabilidad no especificada puede explotarse remotamente para obtener información sensible;
  10. Una vulnerabilidad no especificada puede explotarse remotamente para suplantar la interfaz de usuario;
  11. Una vulnerabilidad no especificada se puede explotar de forma remota a través de una URL con formato especial para suplantar la interfaz de usuario;
  12. Una aplicación inadecuada de los requisitos en los paneles de Developer Tool de una extensión se puede explotar de forma remota para obtener privilegios
  13. Una aplicación inadecuada de los requisitos en la función browser.identity.launchWebAuthFlow se puede explotar de forma remota para obtener privilegios;
  14. Un uso incorrecto de la cookie modificada HttpOnly se puede explotar de forma remota para eludir las restricciones de seguridad;
  15. Una vulnerabilidad no especificada se puede explotar de forma remota a través de una solicitud de red de fondo especialmente diseñada para obtener información sensible;
  16. Una aplicación inadecuada de los requisitos en WebExtensions se puede explotar de forma remota para eludir las restricciones de seguridad;
  17. Una vulnerabilidad no especificada puede explotarse de forma remota a través de una URL especialmente diseñada para suplantar la interfaz de usuario;
  18. Una vulnerabilidad no especificada en Activity Stream se puede explotar de forma remota para eludir las restricciones de seguridad;
  19. Una vulnerabilidad no especificada en la vista del lector puede explotarse remotamente para realizar un ataque de cross site scripting (XSS);
  20. Una vulnerabilidad no especificada en la barra de direcciones se puede explotar de forma remota a través de algunos caracteres tibetanos en varias fuentes para falsificar la interfaz de usuario;
  21. Una posible vulnerabilidad de desbordamiento de enteros en la función DoCrypt de WebCrypto puede explotarse de forma remota a la denegación de servicio;
  22. Varias vulnerabilidades de corrupción de memoria se pueden explotar de forma remota para ejecutar código arbitrario;

Detalles técnicos

Las vulnerabilidades (2) – (9), (11) – (16), (18), (19), (21) afectan solo a Mozilla Firefox.

Las vulnerabilidades (10), (20) afectan solo a las versiones OS X de Mozilla Firefox.

Productos afectados

Versiones de Mozilla Firefox anteriores a 58
Versiones de ESR Mozilla Firefox anteriores a 52.6

Solución

Actualiza a la última versión
Descargar Mozilla Firefox ESR
Descargar Mozilla Firefox

Notas informativas originales

Mozilla Foundation Security Advisory 2018-02
Mozilla Foundation Security Advisory 2018-03

Impactos
?
SUI 
[?]

ACE 
[?]

OSI 
[?]

XSSCSS 
[?]

SB 
[?]

PE 
[?]

DoS 
[?]
Productos relacionados
Mozilla Firefox ESR
Mozilla Firefox
CVE-IDS
?

CVE-2018-5090
CVE-2018-5122
CVE-2018-5121
CVE-2018-5119
CVE-2018-5118
CVE-2018-5116
CVE-2018-5115
CVE-2018-5114
CVE-2018-5113
CVE-2018-5112
CVE-2018-5111
CVE-2018-5110
CVE-2018-5109
CVE-2018-5108
CVE-2018-5107
CVE-2018-5106
CVE-2018-5105
CVE-2018-5101
CVE-2018-5100
CVE-2018-5094
CVE-2018-5093
CVE-2018-5092
CVE-2018-5089
CVE-2018-5117
CVE-2018-5104
CVE-2018-5103
CVE-2018-5102
CVE-2018-5099
CVE-2018-5098
CVE-2018-5097
CVE-2018-5096
CVE-2018-5095
CVE-2018-5091


Enlace al original