Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en NFC en Android (CVE-2019-9309)
Gravedad:
MediaMedia
Publication date: 27/09/2019
Last modified:
02/10/2019
Descripción:
En NFC, se presenta una posible escritura fuera de límites debido a una falta de comprobación de límites. Esto podría conllevar a una escalada de privilegios local sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10, ID de Android: A-117985575
Vulnerabilidad en KeyStore en el almacenamiento de claves simétricas en Android (CVE-2019-9253)
Gravedad:
MediaMedia
Publication date: 27/09/2019
Last modified:
02/10/2019
Descripción:
En KeyStore, se presenta un posible almacenamiento de claves simétricas en el TEE en lugar de la strongbox debido a que falta un flag de la strongbox. Esto podría conllevar a una divulgación de información local con los privilegios de ejecución System necesarios. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10, ID de Android: A-109769728
Vulnerabilidad en la pila del Bluetooth en Android (CVE-2019-9259)
Gravedad:
AltaAlta
Publication date: 27/09/2019
Last modified:
02/10/2019
Descripción:
En la pila del Bluetooth, se presenta una posible escritura fuera de límites debido a un uso de la memoria previamente liberada. Esto podría conllevar a una escalada de privilegios local con los privilegios de ejecución System necesarios. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10, ID de Android: A-113575306
Vulnerabilidad en sensorservice en Android (CVE-2019-9266)
Gravedad:
AltaAlta
Publication date: 27/09/2019
Last modified:
02/10/2019
Descripción:
En sensorservice, se presenta una posible escritura fuera de límites debido a una falta de comprobación de límites. Esto podría conllevar a una escalada de privilegios local con los privilegios de ejecución System necesarios. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10, ID de Android: A-119501435
Vulnerabilidad en System Settings en Android (CVE-2019-9269)
Gravedad:
MediaMedia
Publication date: 27/09/2019
Last modified:
02/10/2019
Descripción:
En System Settings, se presenta una posible omisión de permisos debido a un ID de usuario de Linux en memoria caché. Esto podría conllevar a una omisión de permisos locales sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10, ID de Android: A-36899497
Vulnerabilidad en el sistema de archivos proc en Android (CVE-2019-9277)
Gravedad:
BajaBaja
Publication date: 27/09/2019
Last modified:
02/10/2019
Descripción:
En el sistema de archivos proc, se presenta una posible divulgación de información debido a la divulgación de información del registro. Esto podría conllevar a la divulgación local de la actividad de la aplicación y el navegador con los privilegios de ejecución de usuario necesarios. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10, ID de Android: A-68016944
Vulnerabilidad en GoogleContactsSyncAdapter en Android (CVE-2019-9281)
Gravedad:
MediaMedia
Publication date: 27/09/2019
Last modified:
02/10/2019
Descripción:
En GoogleContactsSyncAdapter, se presenta un posible salto de ruta debido a un saneamiento de entrada inapropiada. Esto podría conllevar a una omisión de los requerimientos de interacción del usuario sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10, ID de Android: A-32748076
Vulnerabilidad en skia en Android (CVE-2019-9282)
Gravedad:
MediaMedia
Publication date: 27/09/2019
Last modified:
02/10/2019
Descripción:
En skia, se presenta una posible lectura fuera de límites debido a una falta de comprobación de límites. Esto podría conllevar a una divulgación de información remota sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10, ID de Android: A-113211371
Vulnerabilidad en libAACdec en Android (CVE-2019-9299)
Gravedad:
MediaMedia
Publication date: 27/09/2019
Last modified:
02/10/2019
Descripción:
En libAACdec, se presenta una posible escritura fuera de límites debido a un desbordamiento de enteros. Esto podría conllevar a una ejecución de código remota sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10, ID de Android: A-112663886
Vulnerabilidad en libAACdec en Android (CVE-2019-9301)
Gravedad:
AltaAlta
Publication date: 27/09/2019
Last modified:
02/10/2019
Descripción:
En libAACdec, se presenta una posible escritura fuera de límites debido a un desbordamiento de enteros. Esto podría conllevar a una ejecución de código remota sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10, ID de Android: A-112663384
Vulnerabilidad en Bluetooth en Android (CVE-2019-9250)
Gravedad:
MediaMedia
Publication date: 27/09/2019
Last modified:
02/10/2019
Descripción:
En Bluetooth, se presenta una posible lectura fuera de límites debido a una falta de comprobación de límites. Esto podría conllevar a una divulgación de información remota sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10, ID de Android: A-120276962
Vulnerabilidad en libavc en Android (CVE-2019-9314)
Gravedad:
MediaMedia
Publication date: 27/09/2019
Last modified:
02/10/2019
Descripción:
En libavc, se presenta una falta de inicialización de variable. Esto podría conllevar a una divulgación de información remota sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10, ID de Android: A-112329563
Vulnerabilidad en libhevc en Android (CVE-2019-9315)
Gravedad:
MediaMedia
Publication date: 27/09/2019
Last modified:
02/10/2019
Descripción:
En libhevc, se presenta una falta de inicialización de variable. Esto podría conllevar a una divulgación de información remota sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10, ID de Android: A-112326216
Vulnerabilidad en el servidor NFC en Android (CVE-2019-9344)
Gravedad:
BajaBaja
Publication date: 27/09/2019
Last modified:
02/10/2019
Descripción:
En el servidor NFC, se presenta una posible lectura fuera de límites debido a una falta de comprobación de límites. Esto podría conllevar a una divulgación de información local sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10, ID de Android: A-120845341
Vulnerabilidad en SyncStatusObserver en Android (CVE-2019-9351)
Gravedad:
BajaBaja
Publication date: 27/09/2019
Last modified:
02/10/2019
Descripción:
En SyncStatusObserver, se presenta una posible omisión para las protecciones del sistema operativo que aíslan los perfiles de usuarios entre sí debido a una falta de comprobación de permisos. Esto podría conllevar a una divulgación de información limitada local sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10, ID de Android: A-128599864
Vulnerabilidad en NFC en Android (CVE-2019-9358)
Gravedad:
MediaMedia
Publication date: 27/09/2019
Last modified:
02/10/2019
Descripción:
En NFC, se presenta una posible escritura fuera de límites debido a una falta de comprobación de límites. Esto podría conllevar a una escalada de privilegios local sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10, ID de Android: A-120156401
Vulnerabilidad en el TEE en Android (CVE-2019-9360)
Gravedad:
MediaMedia
Publication date: 27/09/2019
Last modified:
02/10/2019
Descripción:
En el TEE, se presenta una posible lectura fuera de límites debido a una falta de comprobación de límites. Esto podría conllevar a una divulgación de información local con los privilegios de ejecución System necesarios. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10, ID de Android: A-120610663
Vulnerabilidad en hostapd en Android (CVE-2019-9375)
Gravedad:
MediaMedia
Publication date: 27/09/2019
Last modified:
02/10/2019
Descripción:
En hostapd, se presenta una posible escritura fuera de límites debido a una condición de carrera. Esto podría conllevar a una escalada de privilegios local con los privilegios de ejecución System necesarios. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10, ID de Android: A-129344244
Vulnerabilidad en la configuración de la Interfaz de Usuario en Android (CVE-2019-9380)
Gravedad:
MediaMedia
Publication date: 27/09/2019
Last modified:
02/10/2019
Descripción:
En la configuración de la Interfaz de Usuario, se presenta una posible vulnerabilidad de suplantación de identidad debido a una falta de comprobación de permisos. Esto podría conllevar a un usuario a cambiar por error la configuración de permisos sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10, ID de Android: A-123700098
Vulnerabilidad en Bluetooth en Android (CVE-2019-9249)
Gravedad:
BajaBaja
Publication date: 27/09/2019
Last modified:
02/10/2019
Descripción:
En Bluetooth, se presenta una posible lectura fuera de límites debido a una falta de comprobación de límites. Esto podría conllevar a una divulgación de información local sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10, ID de Android: A-120255805
Vulnerabilidad en NFC en Android (CVE-2019-9244)
Gravedad:
BajaBaja
Publication date: 27/09/2019
Last modified:
02/10/2019
Descripción:
En NFC, se presenta una posible lectura fuera de límites debido a una falta de comprobación de límites. Esto podría conllevar a una divulgación de información local sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10, ID de Android: A-120865977
Vulnerabilidad en el componente LAF de LG en Android (CVE-2019-2190)
Gravedad:
BajaBaja
Publication date: 27/09/2019
Last modified:
02/10/2019
Descripción:
En el componente LAF de LG, se presenta una posible fuga de información en una partición de disco protegida debido a una falta de comprobación de límites. Esto podría conllevar a una divulgación de información local por medio de USB con privilegios de ejecución User necesarios. La interacción del usuario no es requerida para su explotación. Producto: Android, Versiones: kernel de Android, ID de Android: A-68771598
Vulnerabilidad en algunos elementos HTML, tales como <title> y <textarea> en Firefox, Thunderbird y Firefox ESR. (CVE-2019-11744)
Gravedad:
MediaMedia
Publication date: 27/09/2019
Last modified:
04/10/2019
Descripción:
Algunos elementos HTML, tales como <title> y <textarea>, puede contener corchetes angulares literales sin tratarlos como un marcado. Es posible pasar una etiqueta de cierre literal a .innerHTML en estos elementos, y el contenido posterior se analizará como si estuviera fuera de la etiqueta. Esto puede conllevar a un ataque de tipo XSS si un sitio no filtra la entrada del usuario tan estrictamente para estos elementos como lo hace para otros elementos. Esta vulnerabilidad afecta a Firefox versiones anteriores a 69, Thunderbird versiones anteriores a 68.1, Thunderbird versiones anteriores a 60.9, Firefox versiones anteriores a 60.9 y Firefox ESR versiones anteriores a 68.1.
Vulnerabilidad en las contraseñas almacenadas localmente en Firefox y Firefox ESR. (CVE-2019-11733)
Gravedad:
MediaMedia
Publication date: 27/09/2019
Last modified:
05/10/2019
Descripción:
Cuando se establece una contraseña maestra, es necesario ingresarla nuevamente antes de que pueda ser accedida a las contraseñas almacenadas en el cuadro de diálogo "Saved Logins". Se detectó que las contraseñas almacenadas localmente pueden ser copiadas en el portapapeles por medio del elemento del menú contextual "copy password" sin reingresar la contraseña maestra, si la contraseña maestra ha sido ingresada previamente en la misma sesión, permitiendo el robo potencial de contraseñas almacenadas. Esta vulnerabilidad afecta a Firefox versiones anteriores a 68.0.2 y Firefox ESR versiones anteriores a 68.0.2.
Vulnerabilidad en bugs de seguridad de la memoria presentes en Firefox. (CVE-2019-11734)
Gravedad:
AltaAlta
Publication date: 27/09/2019
Last modified:
02/10/2019
Descripción:
Los desarrolladores de Mozilla y los miembros de la comunidad reportaron bugs de seguridad de la memoria presentes en Firefox versión 68. Algunos de estos errores mostraron evidencia de corrupción de la memoria y presumimos que con suficiente esfuerzo algunos de estos podrían ser explotados para ejecutar código arbitrario. Esta vulnerabilidad afecta a Firefox versiones anteriores a 69.
Vulnerabilidad en bugs de seguridad de la memoria presentes en Firefox y Firefox ESR. (CVE-2019-11735)
Gravedad:
AltaAlta
Publication date: 27/09/2019
Last modified:
05/10/2019
Descripción:
Los desarrolladores de Mozilla y los miembros de la comunidad reportaron bugs de seguridad de la memoria presentes en Firefox versión 68 y Firefox ESR versión 68. Algunos de estos errores mostraron evidencia de corrupción de memoria y presumimos que con el esfuerzo suficiente algunos de estos podrían ser explotados para ejecutar código arbitrario. Esta vulnerabilidad afecta a Firefox versiones anteriores a 69 y Firefox ESR versiones anteriores a 68.1.
Vulnerabilidad en bugs de seguridad de la memoria presentes en Firefox, Thunderbird y Firefox ESR. (CVE-2019-11740)
Gravedad:
AltaAlta
Publication date: 27/09/2019
Last modified:
04/10/2019
Descripción:
Los desarrolladores de Mozilla y los miembros de la comunidad reportaron bugs de seguridad de la memoria presentes en Firefox versión 68, Firefox ESR versión 68 y Firefox 60.8. Algunos de estos errores mostraron evidencia de corrupción de memoria y presumimos que con suficiente esfuerzo algunos de estos podrían ser explotados para ejecutar código arbitrario. Esta vulnerabilidad afecta a Firefox versiones anteriores a 69, Thunderbird versiones anteriores a 68.1, Thunderbird versiones anteriores a 60.9, Firefox versiones anteriores a 60.9 y Firefox ESR versiones anteriores a 68.1.
Vulnerabilidad en addons.mozilla.org y accounts.firefox.com en Firefox. (CVE-2019-11741)
Gravedad:
MediaMedia
Publication date: 27/09/2019
Last modified:
02/10/2019
Descripción:
Un proceso contenido en un sandbox comprometido puede realizar un ataque Universal Cross-site Scripting (UXSS) sobre el contenido de cualquier sitio que pueda causar que sea cargado en el mismo proceso. Debido a que addons.mozilla.org y accounts.firefox.com tienen vínculos estrechos con el producto Firefox, la manipulación maliciosa de estos sitios dentro del navegador puede usarse potencialmente para modificar la configuración de Firefox de un usuario. Estos dos sitios ahora estarán aislados en su propio proceso y no permitirán ser cargados en un proceso de contenido estándar. Esta vulnerabilidad afecta a Firefox versiones anteriores a 69.
Vulnerabilidad en una combinación de filtros SVG y un elemento <canvas> en la aplicación de la política del mismo origen en Firefox, (CVE-2019-11742)
Gravedad:
MediaMedia
Publication date: 27/09/2019
Last modified:
04/10/2019
Descripción:
Se presenta una violación de la política del mismo origen, que permite el robo de imágenes de origen cruzado por medio de una combinación de filtros SVG y un elemento <canvas> debido a un error en cómo es aplicada la política del mismo origen para el contenido de imagen en la memoria caché. La violación de la política del mismo origen resultante podría permitir el robo de datos. Esta vulnerabilidad afecta a Firefox versiones anteriores a 69, Thunderbird versiones anteriores a 68.1, Thunderbird versiones anteriores a 60.9, Firefox versiones anteriores a 60.9 y Firefox ESR versiones anteriores a 68.1.
Vulnerabilidad en los eventos de navegación en "Navigation-Timing Level 2" de W3C en Firefox, Thunderbird y Firefox ESR. (CVE-2019-11743)
Gravedad:
MediaMedia
Publication date: 27/09/2019
Last modified:
04/10/2019
Descripción:
Los eventos de navegación no se adhirieron totalmente a la especificación borrador del "Navigation-Timing Level 2" de W3C en algunas instancias para el evento de descarga, que restringe el acceso a los atributos de sincronización detallados para que solo sean del mismo origen. Esto resultó en una posible exposición de información de origen cruzado mediante la sincronización de ataques de canal lateral. Esta vulnerabilidad afecta a Firefox versiones anteriores a 69, Thunderbird versiones anteriores a 68.1, Thunderbird versiones anteriores a 60.9, Firefox versiones anteriores a 60.9 y Firefox ESR versiones anteriores a 68.1.
Vulnerabilidad en elementos de video en Firefox, Thunderbird y Firefox ESR. (CVE-2019-11746)
Gravedad:
MediaMedia
Publication date: 27/09/2019
Last modified:
04/10/2019
Descripción:
Se puede presentar una vulnerabilidad de uso de la memoria previamente liberada después de manipular elementos de video si el cuerpo es liberado mientras todavía se encuentra en uso. Esto resulta en un bloqueo potencialmente explotable. Esta vulnerabilidad afecta a Firefox versiones anteriores a 69, Thunderbird versiones anteriores a 68.1, Thunderbird versiones anteriores a 60.9, Firefox versiones anteriores a 60.9 y Firefox ESR versiones anteriores a 68.1.
Vulnerabilidad en la funcionalidad "Forget about this site" en el panel History en Firefox y Firefox ESR. (CVE-2019-11747)
Gravedad:
MediaMedia
Publication date: 27/09/2019
Last modified:
05/10/2019
Descripción:
La funcionalidad "Forget about this site" en el panel History tiene como objetivo suprimir todos los datos de usuario guardados que indican que un usuario ha visitado un sitio. Esto incluye eliminar cualquier configuración de HTTP Strict Transport Security (HSTS) recibida desde los sitios que la usan. Debido a un bug, los sitios en la lista de precarga también tienen su configuración HSTS eliminada. En la próxima visita a ese sitio, si el usuario especifica una URL http: en lugar de https: seguro, no estará protegido por la configuración HSTS precargada. Después de esa visita, la configuración HSTS del sitio será restablecida. Esta vulnerabilidad afecta a Firefox versiones anteriores a 69 y Firefox ESR versiones anteriores a 68.1.
Vulnerabilidad en los permisos persistentes en WebRTC en Firefox y Firefox ESR. (CVE-2019-11748)
Gravedad:
MediaMedia
Publication date: 27/09/2019
Last modified:
05/10/2019
Descripción:
WebRTC en Firefox respetará los permisos persistentes otorgados a los sitios para acceder a recursos de micrófono y cámara incluso en un contexto de terceros. A la luz de las recientes vulnerabilidades de alto perfil en otro software, se tomó la decisión de no conservar estos permisos. Esto evita la posibilidad de que los recursos confiables de WebRTC se incorporen de forma no visible en el contenido web y abusen de los permisos otorgados previamente por los usuarios. Ahora se solicitará a los usuarios permisos para cada uso. Esta vulnerabilidad afecta a Firefox versiones anteriores a 69 y Firefox ESR versiones anteriores a 68.1.
Vulnerabilidad en WebRTC en la API getUserMedia en Firefox y Firefox ESR. (CVE-2019-11749)
Gravedad:
MediaMedia
Publication date: 27/09/2019
Last modified:
05/10/2019
Descripción:
Se presenta una vulnerabilidad en WebRTC donde el contenido web malicioso puede utilizar técnicas de sondeo en la API getUserMedia usando restricciones para revelar las propiedades del dispositivo de las cámaras en el sistema sin la activación de un aviso o notificación de usuario. Esto permite la posible toma de huellas digitales de usuarios. Esta vulnerabilidad afecta a Firefox versiones anteriores 69 y Firefox ESR versiones anteriores a 68.1.
Vulnerabilidad en Spidermonkey en Firefox y Firefox ESR. (CVE-2019-11750)
Gravedad:
MediaMedia
Publication date: 27/09/2019
Last modified:
05/10/2019
Descripción:
Se presenta una vulnerabilidad de confusión de tipos en Spidermonkey, lo que resulta en un bloqueo no explotable. Esta vulnerabilidad afecta a Firefox versiones anteriores a 69 y Firefox ESR versiones anteriores a 68.1.
Vulnerabilidad en macros dentro de los documentos de LibreOffice. (CVE-2019-9853)
Gravedad:
MediaMedia
Publication date: 27/09/2019
Last modified:
06/10/2019
Descripción:
Los documentos de LibreOffice pueden contener macros. La ejecución de esas macros está controlada por la configuración de seguridad del documento, por lo general, la ejecución de las macros está bloqueada por defecto. Existía un defecto de decodificación de URL en cómo se procesaban y clasificaban las URL de las macros dentro del documento, resultando en la posibilidad de construir un documento donde la ejecución de macros omitiera la configuración de seguridad. Los documentos fueron detectados correctamente como que contenían macros e incitaron al usuario a su existencia dentro de los documentos, pero las macros dentro del documento no fueron controladas posteriormente por la configuración de seguridad lo que permitía la ejecución arbitraria de macros. Este problema afecta a: LibreOffice serie 6.2 versiones anteriores a 6.2.7 ; LibreOffice serie 6.3 versiones anteriores a 6.3.1.
Vulnerabilidad en la Política del Mismo Origen en Adobe Flash Player. (CVE-2019-8075)
Gravedad:
MediaMedia
Publication date: 27/09/2019
Last modified:
02/10/2019
Descripción:
Adobe Flash Player versión 32.0.0.192 y versiones anteriores, presentan una vulnerabilidad de Omisión de la Política del Mismo Origen. Su explotación con éxito podría conllevar a una divulgación de información en el contexto del usuario actual.
Vulnerabilidad en Comprobación de los nombres de archivos en CKFinder para ASP, ASP.NET, ColdFusion y PHP. (CVE-2019-15862)
Gravedad:
MediaMedia
Publication date: 26/09/2019
Last modified:
02/10/2019
Descripción:
Se descubrió un problema en CKFinder versiones hasta 2.6.2.1. Las comprobaciones inapropiadas de los nombres de archivos permiten a atacantes remotos cargar archivos sin ninguna extensión (inclusive si la aplicación se configuró para aceptar archivos solamente con un conjunto definido de extensiones). Esto afecta a CKFinder para ASP, CKFinder para ASP.NET, CKFinder para ColdFusion y CKFinder para PHP.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente: