Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Vulnerabilidades en Mozilla Firefox

Vulnerabilidades en Mozilla Firefox

Por Deja un comentario

Mozilla ha publicado su boletín número 18 de este año, el cual está calificado como crítico. En total se han corregido 29 vulnerabilidades, de las cuales 5 tienen un impacto crítico,  11 de impacto alto, 7 de impacto moderado  y 6 de bajo.

Vulnerabilidades de impacto crítico

Se corrigen dos vulnerabilidades en la gestión de memoria, una inyección XUL en la herramienta en desarrollo y dos uso de memoria previamente liberada en el WebSocket y en el proceso de reescalado. Todas ellas
podría permitir la ejecución de código.

CVE asociados: CVE-2017-7779, CVE-2017-7780, CVE-2017-7798, CVE-2017-7800 y CVE-2017-7801.


Vulnerabilidades de impacto alto

Se corrigen cuatro vulnerabilidades: una al utilizar memoria previamente liberada durante la gestión del DOM, en el observador de imagen, en el elemento imagen y en el gestor SVG. Además, se corrigen tres desbordamientos de memoria en el atributo ARIA del DOM, en el renderizado del SVG y en el visor de certificados. Finalmente, se corrige dos saltos de restricciones, uno en ‘WindowsDllDetourPatcher’ y otro en las políticas de mismo origen (same-origin), un secuestro de dominio (Domain hijacking) y una lectura fuera de límites.

CVE asociados: CVE-2017-7753, CVE-2017-7784, CVE-2017-7785, CVE-2017-7786, CVE-2017-7787, CVE-2017-7792, CVE-2017-7802, CVE-2017-7804, CVE-2017-7806, CVE-2017-7807 y CVE-2017-7809.


Vulnerabilidades de impacto moderado

Se corrige un spoofing en la navegación con datos, una fuga de información CSP, un error en la reserva de memoria en las protecciones DWP y WindowsDllDetourPatcher, un error al añadir un punto en una curva
elíptica, dos errores en la sandbox y una inyección XUL.

CVE asociados: CVE-2017-7781, CVE-2017-7782, CVE-2017-7791, CVE-2017-7794, CVE-2017-7799, CVE-2017-7803 y CVE-2017-7808.


Vulnerabilidades de impacto bajo

Se corrige un error al procesar el nombre de usuario en la URL, un error de herencia en las directivas CSP en el iframe sbout:srcdoc, un error al activar HSTS, un error de lectura en los reportes de Windows, una gestión de ficheros al gestionar las actualizaciones y una fuga de información en en nombre de algunas cabeceras.

CVE asociados: CVE-2017-7783, CVE-2017-7788, CVE-2017-7789, CVE-2017-7790, CVE-2017-7796 y CVE-2017-7797.

La vulnerabilidades han sido corregidas en la versión 55 del navegador, que puede ser descargada desde la página oficial o a través del propio sistema de actualización de Firefox.

Jose Ignacio Palacios


Más información:
Mozilla Foundation Security Advisory 2017-18
https://www.mozilla.org/en-US/security/advisories/mfsa2017-18/

Acerca de Jose Ignacio Palacios Ortega

José Ignacio Palacios Ortega Ha escrito 135 publicaciones.

Interacciones con los lectores

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.