Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
15/03/2012
Vulnerabilidades en Mozilla Firefox / Thunderbird / SeaMonkey
Múltiples vulnerabilidades han sido reportadas en Mozilla Firefox, Thunderbird y SeaMonkey, que podrían ser explotadas por personas maliciosas para realizar ataques de cross-site scripting, saltarse ciertas restricciones de seguridad, revelar información sensible, y comprometer el sistema del usuario.Múltiples vulnerabilidades han sido reportadas en Mozilla Firefox, Thunderbird y SeaMonkey, que podrían ser explotadas por personas maliciosas para realizar ataques de cross-site scripting, saltarse ciertas restricciones de seguridad, revelar información sensible, y comprometer el sistema del usuario.
1) Un error de uso después de liberación existe dentro de shlwapi.dll al cerrar una ventana secundaria que utiliza el diálogo de abrir archivo.
2) Un error al manejar ciertas acciones de arrastrar y soltar puede ser explotado para realizar ataques de cross-site scripting.
3) Un error de uso después de liberación dentro de la función "nsSMILTimeValueSpec Título ConvertBetweenTimeContainers ()" cuando manipula determinadas animaciones SVG.
4) Un error de los límites de lectura en los filtros SVG puede ser explotado para revelar ciertos datos.
5) Un error al manejar cabeceras Content Security Policy puede ser explotado para realizar ataques de cross-site scripting.
6) Un error al manejar tu página de inicio "javascript:" puede ser explotado para ejecutar código script en el contexto "about: sessionrestore".
7) Un error no especificado existe cuando se accede a un fotograma clave de cssText después de la modificación dinámica.
8) La propiedad window.fullScreen no aplicaron correctamente la política mozRequestFullscreen, que puede ser aprovechado para eludir la política y cierto contenido falso.
9) Múltiples errores no especificados puede ser explotados para corromper la memoria.
Una explotación exitosa de las vulnerabilidades # ??1, # 3, # 6, # 7 y # 9 podría permitir la ejecución de código arbitrario.
Mozilla Firefox 10.x
Mozilla SeaMonkey 2.x
Mozilla Thunderbird 10.x
CVE-2012-0451, CVE-2012-0454, CVE-2012-0455, CVE-2012-0456, CVE-2012-0457, CVE-2012-0458, CVE-2012-0459, CVE-2012-0460, CVE-2012-0461, CVE-2012-0462, CVE-2012-0463, CVE-2012-0464
Solución:Mozilla:
http://www.mozilla.org/security/announce/2012/mfsa2012-12.html
http://www.mozilla.org/security/announce/2012/mfsa2012-13.html
http://www.mozilla.org/security/announce/2012/mfsa2012-14.html
http://www.mozilla.org/security/announce/2012/mfsa2012-15.html
http://www.mozilla.org/security/announce/2012/mfsa2012-16.html
http://www.mozilla.org/security/announce/2012/mfsa2012-17.html
http://www.mozilla.org/security/announce/2012/mfsa2012-18.html
http://www.mozilla.org/security/announce/2012/mfsa2012-19.html
Security-Assessment.com:
http://www.security-assessment.com/files/documents/advisory/firefox_shlwapi_use_after_free.pdf