Múltiples vulnerabilidades en Mozilla Firefox y Thunderbird

Publicado el 11 noviembre 2011 ¬ 12:48 pmh.mscComentarios desactivados en Múltiples vulnerabilidades en Mozilla Firefox y Thunderbird

Se han descubierto varias vulnerabilidades en Mozilla Firefox y
Thunderbird que pueden permitir la revelación de información sensible,
evadir restricciones de seguridad, realizar ataques Cross-Site
Scripting, ejecutar código arbitrario, elevar privilegios y causar
denegación de servicios.

Firefox y Thunderbird son los productos estrella de Mozilla. Thunderbird
es un cliente de correo electrónico y Firefox es el segundo navegador
web más utilizado por los internautas. El éxito de ambos productos se
encuentra en las grandes posibilidades de personalización y la
flexibilidad que les aportan sus complementos o add-ons.

La mayoría de las vulnerabilidades descubiertas afectan a las versiones
de la 3.x hasta la 7.x de Mozilla Firefox y las versiones 3.x y de la
5.x hasta la 7.x de Thunderbird. A continuación se exponen dichas
vulnerabilidades ordenadas por sus identificadores CVE:

* CVE-2011-3647: Un fallo en ‘JSSubScriptLoader’ al manejar
‘XPCNativeWrappers’ durante la llamada al método ‘loadSubScript’ en un
complemento puede permitir a un atacante remoto elevar privilegios a
través de un sitio web especialmente manipulado. Afecta únicamente a
las ramas 3.x de ambos productos.

* CVE-2011-3648: Un error al analizar secuencias inválidas en el
codificador ‘Shift-JIS’ puede permitir a un atacante remoto llevar a
cabo ataques Cross-Site Scripting (XSS) a través de un texto codificado
especialmente manipulado.

* CVE-2011-3649: Un error al utilizar la aceleración por hardware D2D
(Direct2D) en Windows puede ser aprovechado por un atacante remoto para
evadir la política ‘same-origin’ y leer datos de un dominio diferente.
Afecta únicamente a las versiones 7.x de ambos productos.

* CVE-2011-3650: Un atacante remoto puede aprovechar un error al manejar
archivos JavaScript que contienen muchas funciones para llevar a cabo
una denegación de servicio y, potencialmente, causar otros impactos no
especificados, a través de un archivo JavaScript especialmente
manipulado.

* CVE-2011-3651: Existen múltiples errores no especificados en las
versiones 7.x de ambos productos que pueden permitir a un atacante
remoto causar una denegación de servicio y, potencialmente, ejecutar
código remoto a través de vectores no especificados.

* CVE-2011-3652: Un atacante remoto puede aprovechar un error en el
motor del navegador al asignar memoria para causar una denegación de
servicio y, potencialmente, ejecutar código remoto a través de vectores
no especificados.

* CVE-2011-3653: Un error al interactuar con determinados drivers de
tarjetas gráficas integradas de Intel puede ser aprovechado por un
atacante remoto para evitar la política ‘same-origin’ y leer datos de
imagen a través de vectores relacionados con las texturas WebGL. Afecta
solo a las versiones para el sistema operativo MacOS X.

* CVE-2011-3654: Un atacante remoto puede causar una denegación de
servicio, y posiblemente ejecutar código arbitrario gracias a un error
en el manejo de enlaces entre elementos SVG de ‘mpath’ hacia otro tipo
de elementos no-SVG.

* CVE-2011-3655: La falta de comprobación del uso de ‘NoWaiverWrapper’
en el control de acceso puede permitir que un atacante remoto eleve sus
privilegios a través de un sitio web especialmente manipulado. Esta
vulnerabilidad afecta a las versiones de la 4.x hasta la 7.x de Firefox
y de la 5.x hasta la 7.x de Thunderbird.

A través de la página oficial y el FTP de Mozilla se encuentran
disponibles las versiones 3.6.24 y 8.0 de Firefox así como las 3.1.6 y
8.0 de Thunderbird, que corrigen las vulnerabilidades citadas.
 Fuente

Más información:

Mozilla Foundation Security Advisories
http://www.mozilla.org/security/announce/2011/mfsa2011-46.html
http://www.mozilla.org/security/announce/2011/mfsa2011-47.html
http://www.mozilla.org/security/announce/2011/mfsa2011-48.html
http://www.mozilla.org/security/announce/2011/mfsa2011-49.html
http://www.mozilla.org/security/announce/2011/mfsa2011-50.html
http://www.mozilla.org/security/announce/2011/mfsa2011-51.html
http://www.mozilla.org/security/announce/2011/mfsa2011-52.html

 

saludos

ms, 11-11-2011

 

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias, Vulnerabilidades, , , , , , , , , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies