Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en productos de Mozilla (CVE-2018-12393)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-190 Desbordamiento o ajuste de enteros
Fecha de publicación:
28/02/2019
Última modificación:
24/08/2020

Descripción

Se ha encontrado una vulnerabilidad potencial en los builds de 32 bit en la que un desbordamiento de enteros durante la conversión de scripts en una representación UTF-16 interna podría conducir a la asignación de un búfer demasiado pequeño para dicha conversión. Esto conduce a una escritura fuera de límites. *Nota: las builds de 64 bits no son vulnerables a este problema.*. Esta vulnerabilidad afecta a las versiones anteriores a la 63 de Firefox, las versiones anteriores a la 60.3 de Firefox ESR y las versiones anteriores a la 60.3 de Thunderbird.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:mozilla:firefox:*:*:*:*:*:*:x86:* 63.0 (excluyendo)
cpe:2.3:a:mozilla:firefox_esr:*:*:*:*:*:*:x86:* 60.3 (excluyendo)
cpe:2.3:a:mozilla:thunderbird:*:*:*:*:*:*:x86:* 60.3 (excluyendo)
cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:14.04:*:*:*:lts:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:lts:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:18.04:*:*:*:lts:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:18.10:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_desktop:6.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_desktop:7.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server:6.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server:7.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_aus:7.6:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_eus:7.6:*:*:*:*:*:*:*