CVE-2015-4489 – Mozilla: Vulnerabilities found through code inspection (MFSA 2015-90)
https://notcve.org/view.php?id=CVE-2015-4489
The nsTArray_Impl class in Mozilla Firefox before 40.0, Firefox ESR 38.x before 38.2, and Firefox OS before 2.2 might allow remote attackers to cause a denial of service (memory corruption) or possibly have unspecified other impact by leveraging a self assignment. Vulnerabilidad en la clase nsTArray_Impl en Mozilla Firefox en versiones anteriores a 40.0, Firefox ESR 38.x en versiones anteriores a 38.2 y Firefox OS en versiones anteriores a 2.2, podría permitir a atacantes remotos provocar una denegación de servicio (corrupción de memoria) o posiblemente tener otro impacto no especificado mediante el aprovechamiento de una autoasignación. • http://lists.opensuse.org/opensuse-security-announce/2015-08/msg00014.html http://lists.opensuse.org/opensuse-security-announce/2015-08/msg00015.html http://lists.opensuse.org/opensuse-security-announce/2015-08/msg00021.html http://lists.opensuse.org/opensuse-security-announce/2015-09/msg00016.html http://lists.opensuse.org/opensuse-security-announce/2015-11/msg00025.html http://lists.opensuse.org/opensuse-updates/2015-08/msg00030.html http://lists.opensuse.org/opensuse-updates/2015-08/msg00031.html http • CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer •
CVE-2015-5961
https://notcve.org/view.php?id=CVE-2015-5961
The COPPA error page in the Accounts setup dialog in Mozilla Firefox OS before 2.2 embeds content from an external web server URL into the System process, which allows man-in-the-middle attackers to bypass intended access restrictions by spoofing that server. Vulnerabilidad en la página de error COPPA en el cuadro de diálogo de configuración de Accounts en Mozilla Firefox OS en versiones anteriores a 2.2, incrusta contenido de un servidor web URL externo en el proceso del sistema, lo que permite a atacantes man-in-the-middle eludir las restricciones de acceso previstas suplantando a ese servidor. • http://www.mozilla.org/security/announce/2015/mfsa2015-75.html http://www.securityfocus.com/bid/76255 https://bugzilla.mozilla.org/show_bug.cgi?id=1123433 • CWE-264: Permissions, Privileges, and Access Controls •
CVE-2015-4494
https://notcve.org/view.php?id=CVE-2015-4494
Mozilla Firefox OS before 2.2 does not require the wifi-manage privilege for reading a Wi-Fi system message, which allows attackers to obtain potentially sensitive information via a crafted app. Vulnerabilidad en Mozilla Firefox OS en versiones anteriores a 2.2, no requiere el privilegio wifi-manage para leer un mensaje del sistema Wi-Fi, lo que permite a atacantes remotos obtener información potencialmente sensible a través de una aplicación manipulada. • http://www.mozilla.org/security/announce/2015/mfsa2015-76.html https://bugzilla.mozilla.org/show_bug.cgi?id=1138808 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2015-2744
https://notcve.org/view.php?id=CVE-2015-2744
Cross-site scripting (XSS) vulnerability in the Search app in Gaia in Mozilla Firefox OS before 2.2 allows remote attackers to inject arbitrary HTML via a crafted search link that is mishandled after re-opening the browser or opening the tab view. Vulnerabilidad de XSS en la aplicación Search en Gaia en Mozilla Firefox OS en versiones anteriores a 2.2, permite a atacantes remotos inyectar HTML arbitrario a través de un enlace de búsqueda manipulado que no es manejado correctamente después de volver a abrirse el navegador o de abrir la vista de pestaña. • http://www.mozilla.org/security/announce/2015/mfsa2015-72.html https://bugzilla.mozilla.org/show_bug.cgi?id=1102204 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2015-2745
https://notcve.org/view.php?id=CVE-2015-2745
Multiple cross-site scripting (XSS) vulnerabilities in the Search app in Gaia in Mozilla Firefox OS before 2.2 allow remote attackers to inject arbitrary HTML via the (1) name or (2) title field in card content associated with a search link that is mishandled after a HOME button press or a Show Windows action, as demonstrated by embedding an arbitrary application or spoofing the account-creation page. Vulnerabilidades múltiples de XSS en la aplicación Search en Gaia en Mozilla Firefox OS en versiones anteriores a 2.2, permite a atacantes remotos inyectar HTML arbitrario a través del campo (1) name o (2) title en el contenido de tarjeta asociado a un enlace de búsqueda que no es manejado correctamente después de que se pulse el botón HOME o de una acción Show Windows, según lo demostrado incrustando una aplicación arbitraria o suplantando la página account-creation. • http://www.mozilla.org/security/announce/2015/mfsa2015-73.html https://bugzilla.mozilla.org/show_bug.cgi?id=1101158 https://github.com/mozilla-b2g/gaia/commit/0f72a8c31df9f3d8f609a7c58ca91139051d44eb • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •