Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en navegación de una pestaña en la API history en Firefox (CVE-2020-12412)
Gravedad:
MediaMedia
Publication date: 09/07/2020
Last modified:
12/07/2020
Descripción:
Al navegar en una pestaña usando la API history, un atacante podría causar que la barra de direcciones muestre el dominio incorrecto (con el esquema https://, un número de puerto bloqueado como "1" y sin un ícono de bloqueo) mientras controla los contenidos de la página. Esta vulnerabilidad afecta a Firefox versiones anteriores a 70
Vulnerabilidad en el procesamiento de un carácter hyph en la función Date.parse() en Firefox (CVE-2020-12425)
Gravedad:
MediaMedia
Publication date: 09/07/2020
Last modified:
26/07/2020
Descripción:
Debido a una confusión al procesar un carácter hyph en la función Date.parse(), podría haber ocurrido una lectura fuera de límites de un byte, conllevando a una potencial divulgación de información. Esta vulnerabilidad afecta a Firefox versiones anteriores a 78
Vulnerabilidad en una imagen JPEG en configuraciones no estándar en JavaScript en Firefox (CVE-2020-12422)
Gravedad:
AltaAlta
Publication date: 09/07/2020
Last modified:
26/07/2020
Descripción:
En configuraciones no estándar, una imagen JPEG creada por JavaScript podría haber causado un desbordamiento de una variable interna, resultando en una escritura fuera de límites, corrupción de la memoria y un bloqueo explotable potencialmente. Esta vulnerabilidad afecta a Firefox versiones anteriores a 78
Vulnerabilidad en actualizaciones de add-on en las cadenas de certificados en Firefox ESR, Firefox y Thunderbird (CVE-2020-12421)
Gravedad:
MediaMedia
Publication date: 09/07/2020
Last modified:
26/07/2020
Descripción:
Cuando se llevan a cabo actualizaciones de add-on, las cadenas de certificados que terminan en non-built-in-roots fueron rechazadas (incluso si fueron agregadas legítimamente por un administrador). Esto podría haber causado que los add-ons se desactualicen silenciosamente sin notificación al usuario. Esta vulnerabilidad afecta a Firefox ESR versiones anteriores a 68.10, Firefox versiones anteriores a 78 y Thunderbird versiones anteriores a 68.10.0
Vulnerabilidad en un servidor STUN en Firefox ESR, Firefox y Thunderbird (CVE-2020-12420)
Gravedad:
AltaAlta
Publication date: 09/07/2020
Last modified:
26/07/2020
Descripción:
Al intentar conectarse a un servidor STUN, una condición de carrera podría haber causado un uso de la memoria previamente liberada de un puntero, conllevando a una corrupción de la memoria y un bloqueo potencialmente explotable. Esta vulnerabilidad afecta a Firefox ESR versiones anteriores a 68.10, Firefox versiones anteriores a 78 y Thunderbird versiones anteriores a 68.10.0
Vulnerabilidad en devoluciones de llamada en el vaciado de la ventana en el proceso principal en Firefox ESR, Firefox y Thunderbird (CVE-2020-12419)
Gravedad:
AltaAlta
Publication date: 09/07/2020
Last modified:
26/07/2020
Descripción:
Al procesar devoluciones de llamada que ocurrieron durante el vaciado de la ventana en el proceso principal, la ventana asociada puede terminar; causando una condición de uso de la memoria previamente liberada. Esto podría haber conllevado a una corrupción de la memoria y un bloqueo potencialmente explotable. Esta vulnerabilidad afecta a Firefox ESR versiones anteriores a 68.10, Firefox versiones anteriores a 78 y Thunderbird versiones anteriores a 68.10.0
CVE-2020-12418
Gravedad:
MediaMedia
Publication date: 09/07/2020
Last modified:
26/07/2020
Descripción:
La manipulación de partes individuales de un objeto URL podría haber causado una lectura fuera de límites, filtrando la memoria de proceso a un JavaScript malicioso. Esta vulnerabilidad afecta a Firefox ESR versiones anteriores a 68.10, Firefox versiones anteriores a 78 y Thunderbird versiones anteriores a 68.10.0
Vulnerabilidad en ValueTags en objetos JavaScript en la barrera de tipo en las plataformas ARM64 en Firefox ESR, Firefox y Thunderbird (CVE-2020-12417)
Gravedad:
AltaAlta
Publication date: 09/07/2020
Last modified:
26/07/2020
Descripción:
Debido a una confusión acerca de ValueTags en objetos JavaScript, un objeto puede pasar a través de la barrera de tipo, resultando en una corrupción de la memoria y un bloqueo potencialmente explotable. *Nota: este problema solo afecta a Firefox en las plataformas ARM64. * Esta vulnerabilidad afecta a Firefox ESR versiones anteriores a 68.10, Firefox versiones anteriores a 78 y Thunderbird versiones anteriores a 68.10.0
Vulnerabilidad en la función VideoBroadcaster::AddOrUpdateSink en un VideoStreamEncoder en Firefox (CVE-2020-12416)
Gravedad:
AltaAlta
Publication date: 09/07/2020
Last modified:
26/07/2020
Descripción:
Un VideoStreamEncoder puede haberse liberado en una condición de carrera con la función VideoBroadcaster::AddOrUpdateSink, resultando en un uso de la memoria previamente liberada, una corrupción de la memoria y un bloqueo potencialmente explotable. Esta vulnerabilidad afecta a Firefox versiones anteriores a 78
Vulnerabilidad en "%2F" en una URL en AppCache de Firefox (CVE-2020-12415)
Gravedad:
MediaMedia
Publication date: 09/07/2020
Last modified:
26/07/2020
Descripción:
Cuando "%2F" estaba presente en una URL de manifiesto, el comportamiento de AppCache de Firefox puede haber sido confundido y permitir que sea servido un manifiesto desde un subdirectorio. Esto podría hacer que el appcache sea usado para atender peticiones para el directorio de nivel superior. Esta vulnerabilidad afecta a Firefox versiones anteriores a 78
Vulnerabilidad en IndexedDB en el modo de navegación privada en la API para WKWebViewConfiguration en Firefox para iOS (CVE-2020-12414)
Gravedad:
MediaMedia
Publication date: 09/07/2020
Last modified:
12/07/2020
Descripción:
IndexedDB debe ser borrada cuando sale del modo de navegación privada y no es así, la API para WKWebViewConfiguration se estaba usando incorrectamente y requiere que la instancia privada de este objeto sea eliminada al abandonar el modo privado. Esta vulnerabilidad afecta a Firefox para iOS versiones anteriores a 27
Vulnerabilidad en bugs de seguridad de la memoria en FireFox (CVE-2020-12411)
Gravedad:
AltaAlta
Publication date: 09/07/2020
Last modified:
12/07/2020
Descripción:
Los desarrolladores de Mozilla reportaron bugs de seguridad de la memoria presentes en Firefox versión 76. Algunos de estos bugs mostraron evidencia de corrupción de la memoria y presumimos que con suficiente esfuerzo algunos de estos podrían haber sido explotados para ejecutar código arbitrario. Esta vulnerabilidad afecta a Firefox versiones anteriores a 77
Vulnerabilidad en bugs de seguridad de la memoria en Thunderbird, Firefox y Firefox ESR (CVE-2020-12410)
Gravedad:
AltaAlta
Publication date: 09/07/2020
Last modified:
22/07/2020
Descripción:
Los desarrolladores de Mozilla reportaron bugs de seguridad de la memoria presentes en Firefox versión 76 y Firefox ESR versión 68.8. Algunos de estos bugs mostraron evidencia de corrupción de la memoria y presumimos que con suficiente esfuerzo algunos de estos podrían haber sido explotados para ejecutar código arbitrario. Esta vulnerabilidad afecta a Thunderbird versiones anteriores a 68.9.0, Firefox versiones anteriores a 77 y Firefox ESR versiones anteriores a 68.9
Vulnerabilidad en caracteres en blanco en una URL en Firefox (CVE-2020-12409)
Gravedad:
MediaMedia
Publication date: 09/07/2020
Last modified:
12/07/2020
Descripción:
Cuando usan determinados caracteres en blanco en una URL, fueron incorrectamente renderizados como espacios en lugar de una URL codificada. Esta vulnerabilidad afecta a Firefox versiones anteriores a 77
Vulnerabilidad en la exploración de un documento alojado en una dirección IP en Firefox (CVE-2020-12408)
Gravedad:
MediaMedia
Publication date: 09/07/2020
Last modified:
12/07/2020
Descripción:
Al explorar un documento alojado en una dirección IP, un atacante podría insertar determinados caracteres para voltear una información de dominio y ruta en la barra de direcciones. Esta vulnerabilidad afecta a Firefox versiones anteriores a 77
Vulnerabilidad en WebRender en la GPU en Firefox (CVE-2020-12407)
Gravedad:
BajaBaja
Publication date: 09/07/2020
Last modified:
12/07/2020
Descripción:
El desarrollador de Mozilla, Nicolas Silva, detectó que cuando usaba WebRender, Firefox, bajo determinadas condiciones, filtra memoria arbitraria de la GPU hacia la pantalla visible. El contenido de la memoria filtrada era visible para el usuario, pero no era observable desde el contenido web. Esta vulnerabilidad afecta a Firefox versiones anteriores a 77
Vulnerabilidad en la eliminación de objetos sin caja en Thunderbird, Firefox y Firefox ESR (CVE-2020-12406)
Gravedad:
AltaAlta
Publication date: 09/07/2020
Last modified:
22/07/2020
Descripción:
El desarrollador de Mozilla, Iain Ireland, detectó una falta de un tipo comprobación durante la eliminación de objetos sin caja, resultando en un bloqueo. Presumimos que con un esfuerzo suficiente podría ser explotado para ejecutar código arbitrario. Esta vulnerabilidad afecta a Thunderbird versiones anteriores a 68.9.0, Firefox versiones anteriores a 77 y Firefox ESR versiones anteriores a 68.9
Vulnerabilidad en la navegación de una página en SharedWorkerService en Thunderbird, Firefox y Firefox ESR (CVE-2020-12405)
Gravedad:
BajaBaja
Publication date: 09/07/2020
Last modified:
22/07/2020
Descripción:
Cuando se navega una página maliciosa, podría ocurrir una condición de carrera en nuestro SharedWorkerService y conllevar a un bloqueo potencialmente explotable. Esta vulnerabilidad afecta a Thunderbird versiones anteriores a 68.9.0, Firefox versiones anteriores a 77 y Firefox ESR versiones anteriores a 68.9
Vulnerabilidad en el puente native-to-JS en Firefox para iOS (CVE-2020-12404)
Gravedad:
MediaMedia
Publication date: 09/07/2020
Last modified:
12/07/2020
Descripción:
Para el puente native-to-JS, la aplicación requiere que sea pasado un token único que garantice que un código que no sea de la aplicación no pueda llamar a las funciones de puente. Ese token podría filtrarse cuando sea usado para descargar archivos. Esta vulnerabilidad afecta a Firefox para iOS versiones anteriores a 26
Vulnerabilidad en las firmas DSA en NSS en Thunderbird, Firefox y Firefox ESR (CVE-2020-12399)
Gravedad:
BajaBaja
Publication date: 09/07/2020
Last modified:
04/08/2020
Descripción:
NSS ha mostrado diferencias de sincronización cuando se llevan a cabo firmas DSA, que fue explotable y eventualmente podría filtrar claves privadas. Esta vulnerabilidad afecta a Thunderbird versiones anteriores a 68.9.0, Firefox versiones anteriores a 77 y Firefox ESR versiones anteriores a 68.9
Vulnerabilidad en la biblioteca Skia en Firefox ESR, Thunderbird y Firefox (CVE-2018-12371)
Gravedad:
MediaMedia
Publication date: 09/07/2020
Last modified:
12/07/2020
Descripción:
Una vulnerabilidad de desbordamiento de enteros en la biblioteca Skia al asignar memoria para constructores de bordes en algunos sistemas con al menos 16 GB de RAM. Esto resulta en el uso de memoria no inicializada, resultando en un bloqueo potencialmente explotable. Esta vulnerabilidad afecta a Firefox ESR versiones anteriores a 60.1, Thunderbird versiones anteriores a 60 y Firefox versiones anteriores a 61
Vulnerabilidad en el suministro de un URI en un aviso de permiso para WebRTC en Firefox (CVE-2020-12424)
Gravedad:
MediaMedia
Publication date: 09/07/2020
Last modified:
26/07/2020
Descripción:
Cuando se construye un aviso de permiso para WebRTC, se suministraba un URI desde el proceso de contenido. Este URI no era confiable, y podría haber sido el URI de un origen que previamente se le concediera permiso; omitiendo el aviso. Esta vulnerabilidad afecta a Firefox versiones anteriores a 78

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en la generación de claves RSA en las implementaciones de bignum en una variación del Binary Extended Euclidean Algorithm en Firefox (CVE-2020-12402)
Gravedad:
BajaBaja
Publication date: 09/07/2020
Last modified:
04/08/2020
Descripción:
Durante la generación de claves RSA, las implementaciones de bignum usaron una variación del Binary Extended Euclidean Algorithm que implicaba un flujo significativamente dependiente de la entrada. Esto permitió a un atacante poder llevar a cabo ataques de canal lateral basados ??en electromagnetismo para registrar trazas conllevando a la recuperación de los principales secretos. *Nota:* Un navegador Firefox no modificado no genera claves RSA en funcionamiento normal y no está afectado, pero los productos creados sobre él sí pueden. Esta vulnerabilidad afecta a Firefox versiones anteriores a 78