CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

16/05/2013

Diverses vulnerabilitats a Mozilla Firefox i Thunderbird

S’ha informat de diverses vulnerabilitats en Mozilla Firefox i Thunderbird, que podrien ser explotades per atacants maliciosos per a eludir determinades restriccions de seguretat i comprometre l’equip d’un usuari.

Risc: Alt

S’ha informat de diverses vulnerabilitats en Mozilla Firefox i Thunderbird, que podrien ser explotades per atacants maliciosos per a eludir determinades restriccions de seguretat i comprometre l’equip d’un usuari.

  1. Alguns errors sense especificar podrien ser aprofitats per a provocar una corrupció de la memòria. No hi ha més informació respecte d’això actualment.
  2. Més errors sense especificar podrien ser aprofitats per a provocar una corrupció de memòria. No hi ha més informació respecte d’això actualment.
  3. Un error relacionat amb Chrome Object Wrappers (COW) podria ser aprofitat per a eludir determinades restriccions de seguretat al cridar un determinat constructor de nivells de contingut.
  4. Hi ha un error de tipus "usar després d’alliberar" quan es redimensiona un vídeo mentres s’està reproduint.
  5. Un error en la funció "_caire_xlib_surface_add_glyph()" podria ser aprofitat per a realitzar escriptures aleatòries.
  6. Hi ha errors de tipus "usar després d’alliberar" en les funcions "mozilla::plugins::child::_geturlnotify()", "nsFrameList::FirstChild()" i "nsContentUtils::RemoveScriptBlocker()".

L’execució reeixida de les vulnerabilitats 1, 2 i de la 4 a la 6 podrien permetre l’execució de codi arbitrari.
NOTA: A més, hi ha algunes debilitats en el Servici de Manteniment de Mozilla que podrien ser explotades per a escalar privilegis.

Sistemes Afectats:

Mozilla Firefox 20.x
Mozilla Thunderbird 17.x 

Referències:

CVE-2013-0801, CVE-2013-1669, CVE-2013-1670, CVE-2013-1672, CVE-2013-1674, CVE-2013-1678, CVE-2013-1679, CVE-2013-1680, CVE-2013-1681

Solució:

Actualitzar a Mozilla Firefox 21.0 i Mozilla Thunderbird 17.0.6.

Notes:

Mozilla:
http://www.mozilla.org/security/announce/2013/mfsa2013-48.html

Mozilla:
http://www.mozilla.org/security/announce/2013/mfsa2013-41.html
http://www.mozilla.org/security/announce/2013/mfsa2013-42.html
http://www.mozilla.org/security/announce/2013/mfsa2013-44.html
http://www.mozilla.org/security/announce/2013/mfsa2013-45.html
http://www.mozilla.org/security/announce/2013/mfsa2013-46.html
http://www.mozilla.org/security/announce/2013/mfsa2013-48.html

Font: Secunia Advisories

CSIRT-CV