ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

KLA11206
Múltiples vulnerabilidades en Mozilla Firefox y Firefox ESR
Actualizado: 07/05/2018
Fecha de detección
?
03/13/2018
Nivel de gravedad
?
Crítica
Descripción

Se han encontrado múltiples vulnerabilidades graves en Mozilla Firefox y Mozilla Firefox ESR. Los usuarios malintencionados pueden explotar estas vulnerabilidades para provocar una denegación de servicio, falsificar la interfaz de usuario, obtener información confidencial, ejecutar código arbitrario, realizar ataques de scripts entre sitios y eludir las restricciones de seguridad.

A continuación hay una lista completa de vulnerabilidades:

  1. La vulnerabilidad de desbordamiento de búfer se puede explotar de forma remota manipulando la secuencia de comandos animada SVath animatedPathSegList para causar la denegación de servicio;
  2. Una vulnerabilidad de uso después de libre puede ser explotada remotamente para causar denegación de servicio;
  3. Una vulnerabilidad no especificada en los parámetros de las messegas IPC puede explotarse de forma remota para causar la denegación de servicio;
  4. Una vulnerabilidad no especificada en las conexiones WebRTC se puede explotar de forma remota para causar la denegación de servicio;
  5. Una vulnerabilidad no especificada en la API de fetch () se puede explotar de forma remota para eludir las restricciones de seguridad;
  6. Una vulnerabilidad no especificada en Find API for WebExtensions se puede explotar de forma remota para obtener información sensible;
  7. Una vulnerabilidad no especificada relacionada con el cambio de la preferencia app.support.baseURL se puede explotar de forma remota para realizar un ataque de cross site scripting (XSS);
  8. Una vulnerabilidad no especificada en WebExtensions se puede explotar de forma remota para eludir las restricciones de seguridad;
  9. Una vulnerabilidad no especificada en WebExtensions se puede explotar de forma remota para realizar ataques de cross site scripting (XSS);
  10. Una vulnerabilidad no especificada relacionada con la creación de trabajador compartido a partir de data: URL se puede explotar de forma remota para eludir las restricciones de seguridad;
  11. Una vulnerabilidad de suplantación relacionada con la apertura de sitios maliciosos en la pestaña personalizada de Android con un nombre de dominio extremadamente largo se puede explotar de forma remota para suplantar la interfaz de usuario;
  12. Una vulnerabilidad no especificada relacionada con moz-icon: protocol se puede explotar remotamente para obtener información confidencial;
  13. Una vulnerabilidad no especificada en las notificaciones Push API puede explotarse remotamente para causar la denegación de servicio;
  14. Una vulnerabilidad no especificada relacionada con la Captura de Medios y los permisos de la API de Streams puede explotarse remotamente para suplantar la interfaz de usuario;
  15. Una vulnerabilidad no especificada relacionada con las URL que usan javascript: se puede explotar de forma remota para realizar ataques de cross site scripting (XSS);
  16. Varias vulnerabilidades de corrupción de memoria se pueden explotar de forma remota para ejecutar código arbitrario;
  17. Una vulnerabilidad de desbordamiento de entero relacionada con la conversión de texto a algunos caracteres Unicode se puede explotar de forma remota para provocar la denegación de servicio.

Detalles técnicos

Las vulnerabilidades (2), (6) – (15) afectan solo a Mozilla Firefox.

La vulnerabilidad (17) afecta solo a Mozilla Firefox ESR.

NB: esta vulnerabilidad no tiene ninguna calificación pública CVSS, por lo que la clasificación puede cambiarse por el tiempo.

Productos afectados

Versiones de Mozilla Firefox anteriores a 59
Versiones de ESR Mozilla Firefox anteriores a 52.7

Solución

Actualiza a la última versión
Descargar Mozilla Firefox ESR
Descargar Mozilla Firefox

Notas informativas originales

Mozilla Foundation Security Advisory 2018-06
Mozilla Foundation Security Advisory 2018-07

Impactos
?
SUI 
[?]

ACE 
[?]

OSI 
[?]

XSSCSS 
[?]

SB 
[?]

DoS 
[?]
Productos relacionados
Mozilla Firefox ESR
Mozilla Firefox
CVE-IDS
?

CVE-2018-2145
CVE-2018-2144
CVE-2018-2125
CVE-2018-2126
CVE-2018-2143
CVE-2018-2142
CVE-2018-2141
CVE-2018-2140
CVE-2018-2138
CVE-2018-2137
CVE-2018-2136
CVE-2018-2135
CVE-2018-2134
CVE-2018-2133
CVE-2018-2132
CVE-2018-2131
CVE-2018-2130
CVE-2018-2129
CVE-2018-2128
CVE-2018-2127


Enlace al original