Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
22/06/2011
Varias vulnerabilidades en Mozilla Firefox y Thunderbird
Se ha informado de varias vulnerabilidades en Mozilla Firefox y Thunderbird, que podrían ser aprovechadas por usuarios maliciosos para eludir determinadas erstricciones de seguridad y comprometer el sistema de un usuario.Se ha informado de varias vulnerabilidades en Mozilla Firefox y Thunderbird, que podrían ser aprovechadas por usuarios maliciosos para eludir determinadas erstricciones de seguridad y comprometer el sistema de un usuario.
Para más información:
SA44972
1) Algunes errores sin especificar se podrían explotar para corromper la memoria. Actualmente no se dispone de más información.
Esta vulnerabilidad afecta únicamente a Firefox 3.6.x.
2) Un error "use-after-free" en el método "nsSVGPathSegList::ReplaceItem()" cuando se procesan listas de objetos de segmentos SVG podría ser explotado para acceder a una lista inválida después de que una llamada del usuario definida en DOMAttrModified EventListener elimine un objeto.
3) Un error en el método "nsSVGPointList::AppendElement()" cuando se procesan listas de objetos poligonales SVG podría ser aprovechado para acceder a un puntero después de que un método de obtención definido por el usuario modifique el objeto padre.
4) Un error "use-after-free" en nsXULCommandDispatcher.cpp cuando al procesar el evento NS_XUL_COMMAND_UPDATE podría ser aprovechado para eliminar el actualizador de comandos en curso con la cadena "mUpdaters".
5) Un error cuando se manipular cookies para dos dominios donde uno contiene un punto al final podría ser explotado para eludir la política de "mismo origen" y revelar la cookie a un tercero.
Sistemas Afectados:Firefox versiones anteriores a 3.6.18.
Thunderbird versiones anteriores a 3.1.11.
CVE-2011-0083, CVE-2011-0085, CVE-2011-2362, CVE-2011-2363, CVE-2011-2364, CVE-2011-2365, CVE-2011-2371, CVE-2011-2373, CVE-2011-2374, CVE-2011-2376, CVE-2011-2377
Solución:Actualizar a Firefox versión 3.6.18 y Thunderbird versión 3.1.11.
Notas:Mozilla:
http://www.mozilla.org/security/announce/2011/mfsa2011-19.html
http://www.mozilla.org/security/announce/2011/mfsa2011-20.html
http://www.mozilla.org/security/announce/2011/mfsa2011-21.html
http://www.mozilla.org/security/announce/2011/mfsa2011-22.html
http://www.mozilla.org/security/announce/2011/mfsa2011-23.html
http://www.mozilla.org/security/announce/2011/mfsa2011-24.html
ZDI:
http://www.zerodayinitiative.com/advisories/ZDI-11-223/
http://www.zerodayinitiative.com/advisories/ZDI-11-224/
http://www.zerodayinitiative.com/advisories/ZDI-11-225/