Escrito o:
Vulnerabilidades en produtos Mozilla
Fonte: INTECO.
(CVE-2013-1701): Múltiples vulnerabilidades non especificadas no motor do navegador de Mozilla Firefox anterior a v23.0, Firefox ESR v17.x anterior a v17.0.8, Thunderbird anterior a v17.0.8, Thunderbird ESR v17.x anterior a v17.0.8, e SeaMonkey anterior a v2.20 permite a atacantes remotos provocar unha denegación de servizo (corrupción de memoria e caída da aplicación) ou posiblemente executar código arbitrario a través de vectores descoñecidos.
(CVE-2013-1702): Múltiples vulnerabilidades non especificadas no motor do navegador de Mozilla Firefox anterior a v23.0 e SeaMonkey anterior a v2.20 permite a atacantes remotos provocar unha denegación de servizo (corrupción de memoria e caída da aplicación) ou posiblemente executar código arbitrario a través de vectores descoñecidos.
CVE-2013-1704): Vulnerabilidade de uso despois de liberación na función nsINode::GetParentNode en Mozilla Firefox anterior a v23.0 e SeaMonkey anterior a v2.2 permite a atacantes remotos executar código da súa elección ou causar unha denegación de servizo (danos na pila de memoria e caída da aplicación), a través de vectores que implican unha modificación de DOM no tempo dun evento de mutación setBody.
(CVE-2013-1705): Desbordamento de búfer baseado en memoria dinámica na función cryptojs_interpret_key_gen_type en Mozilla Firefox anterior a v23.0 e SeaMonkey anterior a v2.20 permite a atacantes remotos executar código arbitrario ou causar unha denegación de servizo (caída da aplicación) a través dunha solicitude manipulada de Certificate Request Message Format (CRMF).
(CVE-2013-1706): Desbordamento de búfer baseado en pila en maintenanceservice.exe no servizo Mozilla Maintenance en Mozilla Firefox anterior a v23.0, Firefox ESR v17.x anterior a v17.0.8, Thunderbird anterior a v17.0.8, e Thunderbird ESR v17.x anterior a v17.0.8 permite a usuarios locais acadar privilexios a través dunha longa ruta na liña de comandos.
(CVE-2013-1707): Desbordamento de búfer baseado en pila en Mozilla Updater en Mozilla Firefox anterior a v23.0, Firefox ESR v17.x anterior a v17.0.8, Thunderbird anterior a v17.0.8, e Thunderbird ESR v17.x anterior a v17.0.8 permite a usuarios locais acadar privilexios a través dunha longa ruta na liña de comandos para o servizo de Mozilla Maintenance.
(CVE-2013-1708): Mozilla Firefox anterior a v23.0 e SeaMonkey anterior a v2.20 permite a atacantes remotos provocar unha denegación de servizo (caída de aplicación) a través dun arquivo WAV manipulado que non é manexado axeitadamente pola función nsCString::CharAt.
(CVE-2013-1709): Mozilla Firefox anterior a v23.0, Firefox ESR v17.x anterior a v 17.0.8, Thunderbird anterior a v 17.0.8, Thunderbird ESR v17.x anterior a v 17.0.8, e SeaMonkey anterior a v 2.20 non manexa axeitadamente a interación entre os elementos FRAME e o historial, o que permite a atacantes remotos realicen ataques de cross-site scripting (XSS) a través de vectores relacionados coa suplantación dunha ubicación relativa nun documento previamente visitado.
(CVE-2013-1710): A función crypto.generateCRMFRequest en Mozilla Firefox anterior a v23.0, Firefox ESR v17.x anterior a v 17.0.8, Thunderbird anterior a v 17.0.8, Thunderbird ESR v17.x anterior a v 17.0.8, e SeaMonkey anterior a v 2.20 permite a atacantes remotos executar código JavaScript arbitrario ou realizar ataques de cross-site scripting (XSS) a través de vectores relacionados cunha solicitude de Certificate Request Message Format (CRMF).
CVE-2013-1711): A implementación XrayWrapper en Mozilla Firefox anterior a v23.0 e SeaMonkey anterior a v2.20 non responde axeitadamente á posibilidade dunha derivación no ámbito XBL resultante de argumentos non nativos nas chamadas a funcións XBL, o que fai que sexa máis doado para os atacantes remotos realizar ataques de cross-site scripting (XSS), aproveitando o acceso a un obxecto sen privilexios.
(CVE-2013-1712): Múltiples vulnerabilidades de path de procura inseguro en updater.exe en Mozilla Firefox anterior a v23.0, Firefox ESR v17.x anterior a v 17.0.8, Thunderbird anterior a v 17.0.8, Thunderbird ESR v17.x anterior a v 17.0.8 en Windows 7, Windows Server 2008 R2, Windows 8, e Windows Server 2012 permiten aos usuarios locais acadar privilexios a través dunha DLL cabalo de Troia en (1) o directorio de actualización ou (2) o directorio de traballo actual.
(CVE-2013-1713): Mozilla Firefox anterior a v23.0, Firefox ESR v17.x anterior a v 17.0.8, Thunderbird anterior a v 17.0.8, Thunderbird ESR v17.x anterior a v 17.0.8, e SeaMonkey anterior a v 2.20 utiliza un URI incorrecto dentro comparacións non especificados durante a execución da Same Origin Policy, o que permite a atacantes remotos realizar ataques de cross-site scripting (XSS) ou instalar complementos arbitrarios a través dun sitio web deseñado.
(CVE-2013-1714): A implementación Web Workers en Mozilla Firefox anterior a v23.0, Firefox ESR v17.x anterior a v 17.0.8, Thunderbird anterior a v 17.0.8, Thunderbird ESR v17.x anterior a v 17.0.8, e SeaMonkey anterior a v 2.20 non restrinxe axeitadamente as chamadas XMLHttpRequest, o que permite a atacantes remotos evitar a Same Origin Policy e realizar ataques de cross-site scripting (XSS) a través de vectores non especificados.
(CVE-2013-1715): Múltiples vulnerabilidades de ruta de búsqueda non confiable en (1) o instalador completo e (2) o instalador parcial en Mozilla Firefox antes de v23.0 en Windows permite aos usuarios locais acadar privilexios a través dun troiano DLL no directorio predeterminado de descargas. NOTA: este problema existe debido a unha correción incompleta de CVE-2012-4206.
(CVE-2013-1717): Mozilla Firefox anterior a v23.0, Firefox ESR v17.x anterior a v 17.0.8, Thunderbird anterior a v 17.0.8, Thunderbird ESR v17.x anterior a v 17.0.8, e SeaMonkey anterior a v 2.20 non limitan axeitadamente o acceso local ao sistema de arquivos mediante applets Java, o que permite a atacantes remotos asistidos polo usuario para ler arquivos arbitrarios mediante o aproveitamento dunha descarga dunha ruta fixa ou doutra ruta predecible.