miércoles, 20 de octubre de 2010

Boletines de seguridad de la Fundación Mozilla

La Fundación Mozilla ha publicado nueve boletines de seguridad (del MFSA2010-64 al MFSA2010-72) para solucionar 12 vulnerabilidades en productos Mozilla (Firefox, Thunderbird y SeaMonkey). Según la propia clasificación de Mozilla cinco de los boletines presentan un nivel de gravedad "crítico", dos son de carácter "alto", otro es "moderado" y un último considerado como "bajo".

Los boletines publicados son:

* MFSA 2010-64: Boletín crítico, que corrige tres problemas de seguridad de la memoria en el motor del navegador.

* MFSA 2010-65: Considerado crítico. Desbordamiento de búfer y corrupción de memoria al pasar cadenas de gran tamaño a document.write.

* MFSA 2010-66: Boletín crítico, por un error debido a la posibilidad de acceder a la propiedad locationbar de un objeto window después de que haya sido cerrado.

* MFSA 2010-67: Vulnerabilidad de tratamiento de punteros en LookupGetterOrSetter considerada crítica.

* MFSA 2010-68: Vulnerabilidad de gravedad alta por un cross site scripting en el parseador de Gopher, debido a que las funciones empleadas para convertir texto en etiquetas html podrían emplearse para convertir texto en JavaScript ejecutable.

* MFSA 2010-69: Vulnerabilidad de gravedad alta, por una divulgación de información de sitios cruzados por llamadas modales.

* MFSA 2010-70: Boletín de carácter moderado relacionado con la posibilidad de establecer conexiones SSL válidas con certificados SSL creados con un nombre que contenga un comodín seguido de una dirección IP parcial.

* MFSA 2010-71: Boletín que corrige dos vulnerabilidades críticas por la carga de librerías inseguras.

* MFSA 2010-72: Boletín de gravedad baja, en el que se trata un intercambio de claves Diffie-Hellman inseguro.

Se han publicado las versiones 3.6.11 y 3.5.14 del navegador Firefox, las versiones 3.1.5 y 3.0.9 de Thunderbird y la 2.0.9 de SeaMonkey; que corrigen todas estas vulnerabilidades, disponibles desde:
http://www.mozilla-europe.org/es/firefox/
http://www.mozillamessaging.com/es-ES/thunderbird/
http://www.seamonkey-project.org/


Antonio Ropero
antonior@hispasec.com


Más información:

MFSA 2010-72 Insecure Diffie-Hellman key Exchange
http://www.mozilla.org/security/announce/2010/mfsa2010-72.html

MFSA 2010-71 Unsafe library loading vulnerabilities
http://www.mozilla.org/security/announce/2010/mfsa2010-71.html

MFSA 2010-70 SSL wildcard certificate matching IP addresses
http://www.mozilla.org/security/announce/2010/mfsa2010-70.html

MFSA 2010-69 Cross-site information disclosure via modal calls
http://www.mozilla.org/security/announce/2010/mfsa2010-69.html

MFSA 2010-68 XSS in gopher parser when parsing hrefs
http://www.mozilla.org/security/announce/2010/mfsa2010-68.html

MFSA 2010-67 Dangling pointer vulnerability in LookupGetterOrSetter
http://www.mozilla.org/security/announce/2010/mfsa2010-67.html

MFSA 2010-66 Use-after-free error in nsBarProp
http://www.mozilla.org/security/announce/2010/mfsa2010-66.html

MFSA 2010-65 Buffer overflow and memory corruption using document.write
http://www.mozilla.org/security/announce/2010/mfsa2010-65.html

MFSA 2010-64 Miscellaneous memory safety hazards (rv:1.9.2.11/ 1.9.1.14)
http://www.mozilla.org/security/announce/2010/mfsa2010-64.html

No hay comentarios:

Publicar un comentario en la entrada