Vulnerabilidad en productos de Mozilla (CVE-2018-12393)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-190
Desbordamiento o ajuste de enteros
Fecha de publicación:
28/02/2019
Última modificación:
24/08/2020
Descripción
Se ha encontrado una vulnerabilidad potencial en los builds de 32 bit en la que un desbordamiento de enteros durante la conversión de scripts en una representación UTF-16 interna podría conducir a la asignación de un búfer demasiado pequeño para dicha conversión. Esto conduce a una escritura fuera de límites. *Nota: las builds de 64 bits no son vulnerables a este problema.*. Esta vulnerabilidad afecta a las versiones anteriores a la 63 de Firefox, las versiones anteriores a la 60.3 de Firefox ESR y las versiones anteriores a la 60.3 de Thunderbird.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:x86:* | 63.0 (excluyendo) | |
| cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:x86:* | 60.3 (excluyendo) | |
| cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:x86:* | 60.3 (excluyendo) | |
| cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:14.04:*:*:*:lts:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:lts:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:18.04:*:*:*:lts:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:18.10:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_desktop:6.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_desktop:7.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_server:6.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_server:7.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_server_aus:7.6:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_server_eus:7.6:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.securityfocus.com/bid/105718
- http://www.securityfocus.com/bid/105769
- http://www.securitytracker.com/id/1041944
- https://access.redhat.com/errata/RHSA-2018:3005
- https://access.redhat.com/errata/RHSA-2018:3006
- https://access.redhat.com/errata/RHSA-2018:3531
- https://access.redhat.com/errata/RHSA-2018:3532
- https://bugzilla.mozilla.org/show_bug.cgi?id=1495011
- https://lists.debian.org/debian-lts-announce/2018/11/msg00008.html
- https://lists.debian.org/debian-lts-announce/2018/11/msg00011.html
- https://security.gentoo.org/glsa/201811-04
- https://security.gentoo.org/glsa/201811-13
- https://usn.ubuntu.com/3801-1/
- https://usn.ubuntu.com/3868-1/
- https://www.debian.org/security/2018/dsa-4324
- https://www.debian.org/security/2018/dsa-4337
- https://www.mozilla.org/security/advisories/mfsa2018-26/
- https://www.mozilla.org/security/advisories/mfsa2018-27/
- https://www.mozilla.org/security/advisories/mfsa2018-28/