Boletines de Vulnerabilidades |
Actualización de seguridad de Firefox |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | official+tested |
Impacto | Compromiso Root |
Dificultad | Avanzado |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | Comercial Software |
Software afectado |
RHEL Desktop Workstation (v. 5 client) Red Hat Enterprise Linux (v. 5 server) Red Hat Enterprise Linux Desktop (v. 5 client) Red Hat Enterprise Linux Desktop (v. 6) Red Hat Enterprise Linux HPC Node (v. 6) Red Hat Enterprise Linux Server (v. 6) Red Hat Enterprise Linux Workstation (v. 6) |
Descripción |
|
Se han lanzado paquetes de actualización de Firefox que reparan varios problemas de seguridad. Mozilla Firefox es un navegador web de código abierto. XULRunner proporciona el entorno de ejecución XUL para Mozilla Firefox. Se encontraron varios defectos en el procesamiento de contenido web con formato incorrecto. Una página web que contiene el contenido malicioso podría hacer que Firefox se bloquee o que ejecute código arbitrario con los privilegios del usuario que ejecuta Firefox. (CVE-2012-4214, CVE-2012-4215, CVE-2012-4216, CVE-2012-5829, CVE-2012-5830, CVE-2012-5833, CVE-2012-5835, CVE-2012-5839, CVE-2012-5840, CVE-2012-5842) Se ha encontrado un error de desbordamiento de búfer en la forma en que Firefox maneja imágenes GIF (Graphics Interchange Format). Una página web que contenga una imagen GIF maliciosa podría causar que Firefox se bloquee o que posiblemente, ejecute código arbitrario con los privilegios del usuario que ejecuta Firefox. (CVE-2012-4202) Se ha detectado un error en el modo que la herramienta Inspector de estilo de Firefox maneja ciertas Hojas de Estilo en Cascada (CSS). Ejecutando la herramienta (Herramientas -> Web Desarrollador -> Inspección) con un CSS malicioso podría resultar en la ejecución de contenido HTML y CSS con privilegios de chrome. (CVE-2012-4210) Otro error fue encontrado en el modo en que Firefox decodifica la codificación de carácteres HZ-GB-2312. Una página web con contenido malicioso podría hacer que Firefox ejecutara código JavaScript con los permisos de un sitio web diferente. (CVE-2012-4207) Se ha detectado un error en la implementación del objeto ubicación en Firefox. Se podria usar contenido malicioso para permitir la carga de contenido restringido por los plug-ins. (CVE-2012-4209) Otro defecto se encuentra en el modo en como fueron implementados los manipuladores de cross-origin. Se podría usar contenido malicioso para realizar ataques de cross-site scripting. (CVE-2012-5841) Se encontró un error en la aplicación evalInSandbox de Firefox. Podria existir contenido malicioso que podría utilizar esta vulnerabilidad para realizar ataques de cross-site scripting. (CVE-2012-4201) |
|
Solución |
|
Aplicar las actualizaciones correspondientes. | |
Identificadores estándar |
|
Propiedad | Valor |
CVE |
CVE-2012-4201 CVE-2012-4202 CVE-2012-4207 CVE-2012-4209 CVE-2012-4210 CVE-2012-4214 CVE-2012-4215 CVE-2012-4216 CVE-2012-5829 CVE-2012-5830 CVE-2012-5833 CVE-2012-5835 CVE-2012-5839 CVE-2012-5840 CVE-2012-5841 CVE-2012-5842 |
BID | |
Recursos adicionales |
|
Aviso de actualización de RedHat http://rhn.redhat.com/errata/RHSA-2012-1482.html |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso_emitido | 2012-11-22 |