Múltiples vulnerabilidades en Mozilla Firefox y Firefox ESR

Descripción

Se han encontrado múltiples vulnerabilidades graves en Mozilla Firefox y Mozilla Firefox ESR. Los usuarios malintencionados pueden explotar estas vulnerabilidades para provocar una denegación de servicio, falsificar la interfaz de usuario, obtener información confidencial, ejecutar código arbitrario, realizar ataques de scripts entre sitios y eludir las restricciones de seguridad.

A continuación hay una lista completa de vulnerabilidades:

1. La vulnerabilidad de desbordamiento de búfer se puede explotar de forma remota manipulando la secuencia de comandos animada SVath animatedPathSegList para causar la denegación de servicio;
2. Una vulnerabilidad de uso después de libre puede ser explotada remotamente para causar denegación de servicio;
3. Una vulnerabilidad no especificada en los parámetros de las messegas IPC puede explotarse de forma remota para causar la denegación de servicio;
4. Una vulnerabilidad no especificada en las conexiones WebRTC se puede explotar de forma remota para causar la denegación de servicio;
5. Una vulnerabilidad no especificada en la API de fetch () se puede explotar de forma remota para eludir las restricciones de seguridad;
6. Una vulnerabilidad no especificada en Find API for WebExtensions se puede explotar de forma remota para obtener información sensible;
7. Una vulnerabilidad no especificada relacionada con el cambio de la preferencia app.support.baseURL se puede explotar de forma remota para realizar un ataque de cross site scripting (XSS);
8. Una vulnerabilidad no especificada en WebExtensions se puede explotar de forma remota para eludir las restricciones de seguridad;
9. Una vulnerabilidad no especificada en WebExtensions se puede explotar de forma remota para realizar ataques de cross site scripting (XSS);
10. Una vulnerabilidad no especificada relacionada con la creación de trabajador compartido a partir de data: URL se puede explotar de forma remota para eludir las restricciones de seguridad;
11. Una vulnerabilidad de suplantación relacionada con la apertura de sitios maliciosos en la pestaña personalizada de Android con un nombre de dominio extremadamente largo se puede explotar de forma remota para suplantar la interfaz de usuario;
12. Una vulnerabilidad no especificada relacionada con moz-icon: protocol se puede explotar remotamente para obtener información confidencial;
13. Una vulnerabilidad no especificada en las notificaciones Push API puede explotarse remotamente para causar la denegación de servicio;
14. Una vulnerabilidad no especificada relacionada con la Captura de Medios y los permisos de la API de Streams puede explotarse remotamente para suplantar la interfaz de usuario;
15. Una vulnerabilidad no especificada relacionada con las URL que usan javascript: se puede explotar de forma remota para realizar ataques de cross site scripting (XSS);
16. Varias vulnerabilidades de corrupción de memoria se pueden explotar de forma remota para ejecutar código arbitrario;
17. Una vulnerabilidad de desbordamiento de entero relacionada con la conversión de texto a algunos caracteres Unicode se puede explotar de forma remota para provocar la denegación de servicio.

---

Detalles técnicos

Las vulnerabilidades (2), (6) – (15) afectan solo a Mozilla Firefox.

La vulnerabilidad (17) afecta solo a Mozilla Firefox ESR.

NB: esta vulnerabilidad no tiene ninguna calificación pública CVSS, por lo que la clasificación puede cambiarse por el tiempo.

Notas informativas originales

• Mozilla Foundation Security Advisory 2018-06

• Mozilla Foundation Security Advisory 2018-07

Lista CVE

Leer más

Conozca las estadísticas de las vulnerabilidades que se propagan en su región statistics.securelist.com