Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
19/09/2013
Múltiples vulnerabilitats en Mozilla Firefox / Thunderbird
Diverses vulnerabilitats s'han detectat en Mozilla Firefox i Thunderbird.... que poden ser explotades per usuaris locals maliciosos per a escalar privilegis i per usuaris maliciosos per a revelar informació sensible, eludir una sèrie de restriccions de seguretat i comprometre el sistema d’un usuari.
Algunes de les fallades detectades permetrien:
-
Un error en la funció "nsHtml5TreeBuilder :: resetTheInsertionMode ()" quan s’interactua amb els elements de la plantilla pot explotar-se per a causar un desbordament de memòria intermèdia.
-
Un error en el controlador de NVIDIA VOS X pot explotar-se per a obtindre informació potencialment sensible.
-
Un error en la funció "nsFloatManager :: GetFlowArea ()" quan es combinen llistes, floats i unes quantes columnes, pot explotar-se per a causar un desbordament de memòria intermèdia.
Més informació en l’apartat de Notes.
Sistemes Afectats:
Les vulnerabilitats estan en versions anteriors a la 24.0
Referències:CVE-2013-1718, CVE-2013-1719, CVE-2013-1720, CVE-2013-1721, CVE-2013-1722, CVE-2013-1724, CVE-2013-1725, CVE-2013-1726, CVE-2013-1728, CVE-2013-1729, CVE-2013-1730, CVE-2013-1732 CVE-2013-1735, CVE-2013-1736, CVE-2013-1737, CVE-2013-1738
Solució:Actualitzar immediatament a la versió 24.0.
Notes:Més informació en Secunia.
http://www.mozilla.org/security/announce/2013/mfsa2013-76.html
http://www.mozilla.org/security/announce/2013/mfsa2013-77.html
http://www.mozilla.org/security/announce/2013/mfsa2013-78.html
http://www.mozilla.org/security/announce/2013/mfsa2013-79.html
http://www.mozilla.org/security/announce/2013/mfsa2013-81.html
http://www.mozilla.org/security/announce/2013/mfsa2013-82.html
http://www.mozilla.org/security/announce/2013/mfsa2013-83.html
http://www.mozilla.org/security/announce/2013/mfsa2013-85.html
http://www.mozilla.org/security/announce/2013/mfsa2013-86.html
http://www.mozilla.org/security/announce/2013/mfsa2013-88.html
http://www.mozilla.org/security/announce/2013/mfsa2013-89.html
http://www.mozilla.org/security/announce/2013/mfsa2013-90.html
http://www.mozilla.org/security/announce/2013/mfsa2013-91.html
http://www.mozilla.org/security/announce/2013/mfsa2013-92.html
Descobert per:
1) Atte Kettunen, OUSPG
2) Alex Chapman
3) Abhishek Arya (Inferno), Google Chrome Security Team
4) Scott Bell
5) Ms2ger
6) Seb Patane
7) Victor Porof
8) Sachin Shinde
9) Aki Helin
10, 11, 13) Nils
12) Boris Zbarsky
14) Andre Bargull, Scoobidiver, Bobby Holley, i Reuben Morais
15) Christian Holler, Makoto Kato, Jesse Ruderman, Jason Smith, Jan de Mooij, Gary Kwong, Scoobidiver, Olli Pettay, Bobby Holley, i Bob Clary