Page 203 of 1317 results (0.025 seconds)

CVSS: 2.6EPSS: 0%CPEs: 3EXPL: 0

Mozilla Firefox 7.0 and Thunderbird 7.0, when the Direct2D (aka D2D) API is used on Windows in conjunction with the Azure graphics back-end, allow remote attackers to bypass the Same Origin Policy, and obtain sensitive image data from a different domain, by inserting this data into a canvas. NOTE: this issue exists because of a CVE-2011-2986 regression. Mozilla Firefox 7.0 y Thunderbird 7.0, cuando se utiliza el API Direct2D (D2D) en Windows junto con el back-end de gráficos Azure, permite a atacantes remotos evitar la política del mismo origen ("Same Origin Policy"), y obtener datos confidenciales de imágenes de distintos dominios insertando datos en un canvas. NOTA: este problema existe debido a una regresión de CVE-2011-2986. • http://lists.opensuse.org/opensuse-security-announce/2011-11/msg00020.html http://www.mozilla.org/security/announce/2011/mfsa2011-50.html http://www.securityfocus.com/bid/50591 https://bugzilla.mozilla.org/show_bug.cgi?id=655836 https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A14025 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •

CVSS: 10.0EPSS: 7%CPEs: 252EXPL: 0

The browser engine in Mozilla Firefox before 8.0 and Thunderbird before 8.0 does not properly allocate memory, which allows remote attackers to cause a denial of service (memory corruption and application crash) or possibly execute arbitrary code via unspecified vectors. Los motores del navegador Mozilla Firefox v8.0 y de Thunderbird antes de antes de la versión v8.0 no asignan correctamente la memoria, lo que permite a atacantes remotos provocar una denegación de servicio (por corrupción de memoria y caída de la aplicación) o posiblemente ejecutar código de su elección a través de vectores no especificados. • http://secunia.com/advisories/49055 http://www.mozilla.org/security/announce/2011/mfsa2011-48.html https://bugzilla.mozilla.org/show_bug.cgi?id=682727 https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A14239 • CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer •

CVSS: 9.3EPSS: 1%CPEs: 240EXPL: 0

Mozilla Firefox before 3.6.24 and 4.x through 7.0 and Thunderbird before 3.1.6 and 5.0 through 7.0 do not properly handle JavaScript files that contain many functions, which allows user-assisted remote attackers to cause a denial of service (memory corruption and application crash) or possibly have unspecified other impact via a crafted file that is accessed by debugging APIs, as demonstrated by Firebug. Mozilla Firefox v3.6.24 y v4.x hasta la v7.0 y Thunderbird v3.1.6 y v5.0 antes de la v7.0 no maneja adecuadamente determinados archivos JavaScript que contienen multitud de funciones, lo que permite a atacantes remotos provocar una denegación de servicio (por corrupción de memoria y bloqueo de la aplicación), si son ayudados por un usuario local, o posiblemente incluso tener otro impacto no especificado a través de un archivo específicamente creado para ello, al que se accede en la depuración de las API, como lo demuestra Firebug. • http://lists.opensuse.org/opensuse-security-announce/2011-11/msg00020.html http://www.mozilla.org/security/announce/2011/mfsa2011-49.html http://www.redhat.com/support/errata/RHSA-2011-1439.html https://bugzilla.mozilla.org/show_bug.cgi?id=674776 https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A13870 https://access.redhat.com/security/cve/CVE-2011-3650 https://bugzilla.redhat.com/show_bug.cgi?id=751933 • CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer •

CVSS: 9.3EPSS: 0%CPEs: 215EXPL: 0

The JSSubScriptLoader in Mozilla Firefox before 3.6.24 and Thunderbird before 3.1.6 does not properly handle XPCNativeWrappers during calls to the loadSubScript method in an add-on, which makes it easier for remote attackers to gain privileges via a crafted web site that leverages certain unwrapping behavior, a related issue to CVE-2011-3004. El 'JSSubScriptLoader' en Mozilla Firefox antes de v3.6.24 y Thunderbird antes de v3.1.6 no maneja adecuadamente 'XPCNativeWrappers' durante las llamadas al método loadSubScript en un complemento, lo que permite ganar privilegios a los atacantes remotos a través de un sitio web específicamente diseñado que aprovecha cierto el comportamiento de 'unwrapping'. Se trata de un problema relacionado con CVE-2011-3004. • http://lists.opensuse.org/opensuse-security-announce/2011-11/msg00020.html http://www.mozilla.org/security/announce/2011/mfsa2011-46.html http://www.redhat.com/support/errata/RHSA-2011-1439.html https://bugzilla.mozilla.org/show_bug.cgi?id=680880 https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A13550 https://access.redhat.com/security/cve/CVE-2011-3647 https://bugzilla.redhat.com/show_bug.cgi?id=751931 • CWE-20: Improper Input Validation •

CVSS: 5.1EPSS: 0%CPEs: 240EXPL: 0

Cross-site scripting (XSS) vulnerability in Mozilla Firefox before 3.6.24 and 4.x through 7.0 and Thunderbird before 3.1.6 and 5.0 through 7.0 allows remote attackers to inject arbitrary web script or HTML via crafted text with Shift JIS encoding. Vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en Mozilla Firefox en versiones anteriores a 3.6.24 y versiones 4.x hasta la 7.0 y Thunderbird en versiones anteriores a 3.1.6 y 5.0 hasta la 7.0 permite a atacantes remotos inyectar codigo de script web o código HTML de su elección a través de texto modificado con codificación Shift JIS. • http://lists.opensuse.org/opensuse-security-announce/2011-11/msg00020.html http://www.mozilla.org/security/announce/2011/mfsa2011-47.html http://www.redhat.com/support/errata/RHSA-2011-1439.html https://bugzilla.mozilla.org/show_bug.cgi?id=690225 https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A14212 https://access.redhat.com/security/cve/CVE-2011-3648 https://bugzilla.redhat.com/show_bug.cgi?id=751932 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •