Los boletines publicados son:
* MFSA2009-65: En este boletín crítico se cubren múltiples fallos de estabilidad en Firefox, Thunderbird, SeaMonkey que podrían llegar a permitir la ejecución remota de código arbitrario.
* MFSA2009-66: Trata de múltiples problemas críticos relacionados con liboggplay y que afectan a Firefox, SeaMonkey y que pueden llegar a permitir la ejecución remota de código arbitrario.
* MFSA2009-67: Otro boletín crítico relacionado con un desbordamiento de entero el la librería de vídeo Theora. Afecta a Firefox, SeaMonkey.
* MFSA2009-68: Boletín considerado de gravedad "alta" en el que se refiere a una vulnerabilidad en la implementación NTLM de Mozilla en Firefox, SeaMonkey. El problema podría permitir que las credenciales NTLM de una aplicación sean reenviadas a otra aplicación arbitraria a través del navegador.
* MFSA2009-69: En este boletín considerado de carácter moderado se trata un problema que podría permitir la falsificación de URLs, en el que una página http podría aparecer como https.
* MFSA2009-70: Otro boletín moderado que afecta a Firefox y SeaMonkey, en el que se trata un problema de escalada de privilegios.
* MFSA2009-71: El último boletín, considerado de gravedad baja, hace relación a un problema en el objeto GeckoActiveXObject por el que se podrían listar los objetos COM instalados en el sistema del usuario.
Se han publicado las versiones 3.5.6 y 3.0.16 del navegador Firefox que corrige todas estas vulnerabilidades.
La versión 3.5.6 se encuentra disponible desde:
http://www.mozilla-europe.org/es/firefox/
La versión 3.0.16 puede descargarse desde:
http://www.mozilla.com/en-US/firefox/all-older.html
Antonio Ropero
antonior@hispasec.com
antonior@hispasec.com
Más información:
Mozilla Foundation Security Advisory 2009-65
Crashes with evidence of memory corruption (rv:1.9.1.6/ 1.9.0.16)
http://www.mozilla.org/security/announce/2009/mfsa2009-65.html
Mozilla Foundation Security Advisory 2009-66
Memory safety fixes in liboggplay media library
http://www.mozilla.org/security/announce/2009/mfsa2009-66.html
Mozilla Foundation Security Advisory 2009-67
Integer overflow, crash in libtheora video library
http://www.mozilla.org/security/announce/2009/mfsa2009-67.html
Mozilla Foundation Security Advisory 2009-68
NTLM reflection vulnerability
http://www.mozilla.org/security/announce/2009/mfsa2009-68.html
Mozilla Foundation Security Advisory 2009-69
Location bar spoofing vulnerabilities
http://www.mozilla.org/security/announce/2009/mfsa2009-69.html
Mozilla Foundation Security Advisory 2009-70
Privilege escalation via chrome window.opener
http://www.mozilla.org/security/announce/2009/mfsa2009-70.html
Mozilla Foundation Security Advisory 2009-71
GeckoActiveXObject exception messages can be used to enumerate installed COM objects
http://www.mozilla.org/security/announce/2009/mfsa2009-71.html