ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

KLA11271
Múltiples vulnerabilidades en Mozilla Firefox y Mozilla Firefox ESR
Actualizado: 07/05/2018
CVSS
?
10.0
Fecha de detección
?
06/26/2018
Nivel de gravedad
?
Crítica
Descripción

Se han encontrado múltiples vulnerabilidades graves en Mozilla Firefox y Mozilla Firefox ESR. Los usuarios malintencionados pueden explotar estas vulnerabilidades para eludir las restricciones de seguridad, ejecutar código arbitrario, provocar la denegación de servicio y obtener información confidencial.

A continuación hay una lista completa de vulnerabilidades:

  1. El manejo incorrecto de la redirección en Mozilla Firefox puede explotarse remotamente a través de un sitio web especialmente diseñado para obtener información confidencial;
  2. La vulnerabilidad de desbordamiento de búfer que se produce en el procesamiento de lienzos puede explotarse remotamente a través de un sitio web especialmente diseñado para causar la denegación de servicio;
  3. La vulnerabilidad de uso después de la liberación que ocurre en la eliminación de elementos se puede explotar remotamente a través de un sitio web especialmente diseñado para causar la denegación de servicio;
  4. La vulnerabilidad de desbordamiento de enteros en SwizzleData se puede explotar remotamente a través de un sitio web especialmente diseñado para causar la denegación de servicio;
  5. La vulnerabilidad de desbordamiento de enteros en el escalador SSSE3 se puede explotar remotamente a través de un sitio web especialmente diseñado para causar la denegación de servicio;
  6. La vulnerabilidad de uso después de la liberación que ocurre en el movimiento de nodos DOM entre documentos se puede explotar remotamente a través de un sitio web especialmente diseñado para causar la denegación de servicio;
  7. el manejo incorrecto de las solicitudes en los complementos de NPAPI puede explotarse remotamente a través de un sitio web especialmente diseñado para obtener información sensible;
  8. La vulnerabilidad en la política de seguridad de la zona de pruebas de IPC se puede explotar de forma remota a través de un sitio web especialmente diseñado para obtener información sensible;
  9. La vulnerabilidad de lectura fuera de límites en QCMS puede explotarse remotamente a través de un sitio web especialmente diseñado para obtener información sensible;
  10. La vulnerabilidad relacionada con el método PerformanceNavigationTiming se puede aprovechar para evitar las mitigaciones de espectro;
  11. La vulnerabilidad relacionada con el navegador no advierte a los usuarios cuando abren archivos ejecutables con la extensión SettingContent-ms;
  12. El manejo inadecuado del proceso de autorización en WebExtensions puede aprovecharse para obtener privilegios;
  13. La vulnerabilidad de configuración de seguridad predeterminada incorrecta en SameSite se puede aprovechar para obtener información sensible;
  14. La vulnerabilidad de desbordamiento de enteros en la biblioteca de Skia se puede explotar de forma remota para causar la denegación de servicio;

Detalles técnicos

Las vulnerabilidades (1,13,14) solo afectan a Mozilla Firefox.

Las vulnerabilidades (4, 12) solo afectan a Mozilla Firefox y Mozilla Firefox ESR 60.

La vulnerabilidad (11) solo afecta a Mozilla Firefox ESR.

La vulnerabilidad (12) solo afecta a los usuarios de Windows 10.

Productos afectados

Mozilla Firefox antes de los 61
Mozilla Firefox ESR 52 anterior a 52.9
Mozilla Firefox ESR 60 anterior a 60.1

Solución

Actualiza a la última versión
Descargar Mozilla Firefox ESR
Descargar Mozilla Firefox

Notas informativas originales

Mozilla Foundation Security Advisory 2018-16
Mozilla Foundation Security Advisory 2018-15
Mozilla Foundation Security Advisory 2018-17

Impactos
?
ACE 
[?]

OSI 
[?]

SB 
[?]

PE 
[?]

DoS 
[?]
Productos relacionados
Mozilla Firefox ESR
Mozilla Firefox
CVE-IDS
?

CVE-2018-5188
CVE-2018-5187
CVE-2018-5186
CVE-2018-5156
CVE-2018-12371
CVE-2018-12370
CVE-2018-12369
CVE-2018-12368
CVE-2018-12367
CVE-2018-12366
CVE-2018-12365
CVE-2018-12364
CVE-2018-12363
CVE-2018-12362
CVE-2018-12361
CVE-2018-12360
CVE-2018-12359
CVE-2018-12358


Enlace al original