Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
19/09/2013
Múltiples vulnerabilidades en Mozilla Firefox / Thunderbird
Diversas vulnerabilidades han sido reportadas en Mozilla Firefox y Thunderbird...... que pueden ser explotadas por usuarios locales maliciosos para escalar privilegios y por usuarios maliciosos para revelar información sensible, eludir ciertas restricciones de seguridad y comprometer el sistema de un usuario.
Algunos de los fallos detectados permitirían:
- Un error en la función "nsHtml5TreeBuilder :: resetTheInsertionMode ()" cuando se interactua con los elementos de la plantilla puede ser explotado para causar un desbordamiento de búfer.
- Un error en el controlador de NVIDIA OS X puede ser explotado para obtener información potencialmente sensible.
- Un error en la función "nsFloatManager :: GetFlowArea ()" cuando se combinan listas, floats, y varias columnas puede ser explotado para causar un desbordamiento de búfer.
Más información en el apartado de Notas.
Sistemas Afectados:Las vulnerabilidades están reportadas en versiones anteriores a la 24.0
Referencias:CVE-2013-1718, CVE-2013-1719, CVE-2013-1720, CVE-2013-1721, CVE-2013-1722, CVE-2013-1724, CVE-2013-1725, CVE-2013-1726, CVE-2013-1728, CVE-2013-1729, CVE-2013-1730, CVE-2013-1732 CVE-2013-1735, CVE-2013-1736, CVE-2013-1737, CVE-2013-1738
Solución:Actualizar inmediatamente a la versión 24.0.
Notas:Más información en Secunia.
http://www.mozilla.org/security/announce/2013/mfsa2013-76.html
http://www.mozilla.org/security/announce/2013/mfsa2013-77.html
http://www.mozilla.org/security/announce/2013/mfsa2013-78.html
http://www.mozilla.org/security/announce/2013/mfsa2013-79.html
http://www.mozilla.org/security/announce/2013/mfsa2013-81.html
http://www.mozilla.org/security/announce/2013/mfsa2013-82.html
http://www.mozilla.org/security/announce/2013/mfsa2013-83.html
http://www.mozilla.org/security/announce/2013/mfsa2013-85.html
http://www.mozilla.org/security/announce/2013/mfsa2013-86.html
http://www.mozilla.org/security/announce/2013/mfsa2013-88.html
http://www.mozilla.org/security/announce/2013/mfsa2013-89.html
http://www.mozilla.org/security/announce/2013/mfsa2013-90.html
http://www.mozilla.org/security/announce/2013/mfsa2013-91.html
http://www.mozilla.org/security/announce/2013/mfsa2013-92.html
Descubierto por:
1) Atte Kettunen, OUSPG
2) Alex Chapman
3) Abhishek Arya (Inferno), Google Chrome Security Team
4) Scott Bell
5) Ms2ger
6) Seb Patane
7) Victor Porof
8) Sachin Shinde
9) Aki Helin
10, 11, 13) Nils
12) Boris Zbarsky
14) Andre Bargull, Scoobidiver, Bobby Holley, y Reuben Morais
15) Christian Holler, Makoto Kato, Jesse Ruderman, Jason Smith, Jan de Mooij, Gary Kwong, Scoobidiver, Olli Pettay, Bobby Holley, y Bob Clary