CVE-2019-9803
https://notcve.org/view.php?id=CVE-2019-9803
The Upgrade-Insecure-Requests (UIR) specification states that if UIR is enabled through Content Security Policy (CSP), navigation to a same-origin URL must be upgraded to HTTPS. Firefox will incorrectly navigate to an HTTP URL rather than perform the security upgrade requested by the CSP in some circumstances, allowing for potential man-in-the-middle attacks on the linked resources. This vulnerability affects Firefox < 66. La especificación de Upgrade-Insecure-Requests (UIR) establece que si la UIR se habilita mediante Content Security Policy (CSP), la navegación a una URL del mismo origen debe actualizarse a HTTPS. Firefox navegará incorrectamente a una URL HTTP en lugar de realizar la actualización de seguridad solicitada por el CSP en algunas circunstancias, lo que permite posibles ataques de intermediarios en los recursos vinculados. • https://bugzilla.mozilla.org/show_bug.cgi?id=1437009 https://bugzilla.mozilla.org/show_bug.cgi?id=1515863 https://w3c.github.io/webappsec-upgrade-insecure-requests https://www.mozilla.org/security/advisories/mfsa2019-07 • CWE-346: Origin Validation Error •
CVE-2019-9797 – Mozilla: Cross-origin theft of images with createImageBitmap
https://notcve.org/view.php?id=CVE-2019-9797
Cross-origin images can be read in violation of the same-origin policy by exporting an image after using createImageBitmap to read the image and then rendering the resulting bitmap image within a canvas element. This vulnerability affects Firefox < 66. Las imágenes de origen cruzado se pueden leer infringiendo la política del mismo origen al exportar una imagen después de utilizar createImageBitmap para leer la imagen y luego renderizar la imagen de mapa de bits resultante dentro de un elemento canvas. Esta vulnerabilidad afecta a Firefox, versiones anteriores a 66. • http://lists.opensuse.org/opensuse-security-announce/2019-06/msg00002.html http://lists.opensuse.org/opensuse-security-announce/2019-06/msg00029.html http://lists.opensuse.org/opensuse-security-announce/2019-06/msg00084.html https://access.redhat.com/errata/RHSA-2019:1265 https://access.redhat.com/errata/RHSA-2019:1267 https://access.redhat.com/errata/RHSA-2019:1269 https://access.redhat.com/errata/RHSA-2019:1308 https://access.redhat.com/errata/RHSA-2019:1309 https://access.redhat. • CWE-346: Origin Validation Error CWE-829: Inclusion of Functionality from Untrusted Control Sphere •
CVE-2019-9799
https://notcve.org/view.php?id=CVE-2019-9799
Insufficient bounds checking of data during inter-process communication might allow a compromised content process to be able to read memory from the parent process under certain conditions. This vulnerability affects Firefox < 66. La comprobación de límites insuficientes de datos durante la comunicación entre procesos puede permitir que un proceso de contenido comprometido pueda leer la memoria del proceso principal en determinadas condiciones. Esta vulnerabilidad afecta a Firefox a las anteriores a 66. • https://bugzilla.mozilla.org/show_bug.cgi?id=1505678 https://www.mozilla.org/security/advisories/mfsa2019-07 • CWE-20: Improper Input Validation CWE-125: Out-of-bounds Read •
CVE-2019-9805
https://notcve.org/view.php?id=CVE-2019-9805
A latent vulnerability exists in the Prio library where data may be read from uninitialized memory for some functions, leading to potential memory corruption. This vulnerability affects Firefox < 66. Existe una vulnerabilidad latente en la libreria Prio, donde los datos pueden leerse desde la memoria no inicializada para algunas funciones, lo que puede dar lugar a una posible corrupción de la memoria. Esta vulnerabilidad afecta a Firefox versiones anteriores a la 66. • https://bugzilla.mozilla.org/show_bug.cgi?id=1521360 https://www.mozilla.org/security/advisories/mfsa2019-07 • CWE-908: Use of Uninitialized Resource •
CVE-2019-9809
https://notcve.org/view.php?id=CVE-2019-9809
If the source for resources on a page is through an FTP connection, it is possible to trigger a series of modal alert messages for these resources through invalid credentials or locations. These messages cannot be immediately dismissed, allowing for a denial of service (DOS) attack. This vulnerability affects Firefox < 66. Si el origen de los recursos de una página es a través de una conexión FTP, es posible desencadenar una serie de mensajes de alerta modales para estos recursos a través de las ubicaciones o credenciales no válidas. Estos mensajes no pueden descartarse inmediatamente, lo que permite un ataque de Denegación de Servicio (DOS). • https://bugzilla.mozilla.org/show_bug.cgi?id=1282430 https://bugzilla.mozilla.org/show_bug.cgi?id=1523249 https://www.mozilla.org/security/advisories/mfsa2019-07 • CWE-399: Resource Management Errors •