Múltiples vulnerabilidades en Mozilla Firefox y Mozilla Firefox ESR

Descripción

Se han encontrado múltiples vulnerabilidades graves en Mozilla Firefox y Mozilla Firefox ESR. Los usuarios malintencionados pueden explotar estas vulnerabilidades para eludir las restricciones de seguridad, ejecutar código arbitrario, provocar la denegación de servicio y obtener información confidencial.

A continuación hay una lista completa de vulnerabilidades:

1. El manejo incorrecto de la redirección en Mozilla Firefox puede explotarse remotamente a través de un sitio web especialmente diseñado para obtener información confidencial;
2. La vulnerabilidad de desbordamiento de búfer que se produce en el procesamiento de lienzos puede explotarse remotamente a través de un sitio web especialmente diseñado para causar la denegación de servicio;
3. La vulnerabilidad de uso después de la liberación que ocurre en la eliminación de elementos se puede explotar remotamente a través de un sitio web especialmente diseñado para causar la denegación de servicio;
4. La vulnerabilidad de desbordamiento de enteros en SwizzleData se puede explotar remotamente a través de un sitio web especialmente diseñado para causar la denegación de servicio;
5. La vulnerabilidad de desbordamiento de enteros en el escalador SSSE3 se puede explotar remotamente a través de un sitio web especialmente diseñado para causar la denegación de servicio;
6. La vulnerabilidad de uso después de la liberación que ocurre en el movimiento de nodos DOM entre documentos se puede explotar remotamente a través de un sitio web especialmente diseñado para causar la denegación de servicio;
7. el manejo incorrecto de las solicitudes en los complementos de NPAPI puede explotarse remotamente a través de un sitio web especialmente diseñado para obtener información sensible;
8. La vulnerabilidad en la política de seguridad de la zona de pruebas de IPC se puede explotar de forma remota a través de un sitio web especialmente diseñado para obtener información sensible;
9. La vulnerabilidad de lectura fuera de límites en QCMS puede explotarse remotamente a través de un sitio web especialmente diseñado para obtener información sensible;
10. La vulnerabilidad relacionada con el método PerformanceNavigationTiming se puede aprovechar para evitar las mitigaciones de espectro;
11. La vulnerabilidad relacionada con el navegador no advierte a los usuarios cuando abren archivos ejecutables con la extensión SettingContent-ms;
12. El manejo inadecuado del proceso de autorización en WebExtensions puede aprovecharse para obtener privilegios;
13. La vulnerabilidad de configuración de seguridad predeterminada incorrecta en SameSite se puede aprovechar para obtener información sensible;
14. La vulnerabilidad de desbordamiento de enteros en la biblioteca de Skia se puede explotar de forma remota para causar la denegación de servicio;

---

Detalles técnicos

Las vulnerabilidades (1,13,14) solo afectan a Mozilla Firefox.

Las vulnerabilidades (4, 12) solo afectan a Mozilla Firefox y Mozilla Firefox ESR 60.

La vulnerabilidad (11) solo afecta a Mozilla Firefox ESR.

La vulnerabilidad (12) solo afecta a los usuarios de Windows 10.

Notas informativas originales

• Mozilla Foundation Security Advisory 2018-16

• Mozilla Foundation Security Advisory 2018-15
• Mozilla Foundation Security Advisory 2018-17

Lista CVE

Leer más

Conozca las estadísticas de las vulnerabilidades que se propagan en su región statistics.securelist.com