CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

16/05/2013

Diversas vulnerabilidades en Mozilla Firefox y Thunderbird

Se ha informado de varias vulnerabilidades en Mozilla Firefox y Thunderbird, que podrían ser explotadas por atacantes maliciosos para eludir determinadas restricciones de seguridad y comprometer el equipo de un usuario.

Riesgo: Alto

Se ha informado de varias vulnerabilidades en Mozilla Firefox y Thunderbird, que podrían ser explotadas por atacantes maliciosos para eludir determinadas restricciones de seguridad y comprometer el equipo de un usuario.

  1. Algunos errores sin especificar podrían ser aprovechados para provocar una corrupción de la memoria. No hay más información al respecto actualmente.
  2. Más errores sin especificar podrían ser aprovechados para prorovocar una corrupción de memoria. No hay más información al respecto actualmente.
  3. Un error relacionado con Chrome Object Wrappers (COW) podría ser aprovechado para eludir determinadas restricciones de seguridad al llamar a un determinado contructor de niveles de contenido.
  4. Hay un error de tipo "usar tras liberar" cuando se redimensiona un video mientras se está reproduciendo.
  5. Un error en la función "_cairo_xlib_surface_add_glyph()" podría ser aprovechado para realizar escrituras aleatorias.
  6. Hay errores de tipo "usar tras liberar" en las funciones "mozilla::plugins::child::_geturlnotify()", "nsFrameList::FirstChild()" y "nsContentUtils::RemoveScriptBlocker()".

La ejecución exitosa de las vulnerabilidades 1, 2 y de la 4 a la 6 podrían permitir la ejecución de código arbitrario.

NOTA: Además, hay algunas debilidades en el Servicio de Mantenimiento de Mozilla que podrían ser explotados para escalar privilegios.

Sistemas Afectados:

Mozilla Firefox 20.x
Mozilla Thunderbird 17.x 

Referencias:

CVE-2013-0801, CVE-2013-1669, CVE-2013-1670, CVE-2013-1672, CVE-2013-1674, CVE-2013-1678, CVE-2013-1679, CVE-2013-1680, CVE-2013-1681

Solución:

Actualizar a Mozilla Firefox 21.0 y Mozilla Thunderbird 17.0.6.

Notas:

Mozilla:
http://www.mozilla.org/security/announce/2013/mfsa2013-48.html

Mozilla:
http://www.mozilla.org/security/announce/2013/mfsa2013-41.html
http://www.mozilla.org/security/announce/2013/mfsa2013-42.html
http://www.mozilla.org/security/announce/2013/mfsa2013-44.html
http://www.mozilla.org/security/announce/2013/mfsa2013-45.html
http://www.mozilla.org/security/announce/2013/mfsa2013-46.html
http://www.mozilla.org/security/announce/2013/mfsa2013-48.html

Fuente: Secunia Advisories

CSIRT-CV