miércoles, 1 de febrero de 2012

La fundación Mozilla publica 9 boletines de seguridad para sus productos

La Fundación Mozilla ha publicado nueve boletines de seguridad (del MFSA 2012-01 al MFSA 2012-09) que solucionan diez vulnerabilidades para todos sus productos (Firefox, Thunderbird y SeaMonkey).

Atendiendo al sistema de clasificación de la propia fundación, cinco boletines solucionan vulnerabilidades con impacto considerados como “crítico”, dos de ellos como “alto”, otros dos como “moderado” y un último como “bajo”.

Los boletines publicados son:

MFSA 2012-01: Considerado crítico. Corrige múltiples problemas de seguridad de la memoria en el motor del navegador usado por Firefox (CVE-2012-0443 y CVE-2012-0442).

MFSA 2012-02: Boletín de carácter bajo que añade restricciones a la sintaxis de las direcciones web para evitar una posible revelación de información sensible con determinadas direcciones IPv6 (CVE-2011-3670).

MFSA 2012-03: Vulnerabilidad de gravedad alta (con CVE-2012-0445). Resuelve una vulnerabilidad de cross-site scripting a través de iframes que podría ser usada para ataques de phishing.

MFSA 2012-04: Considerado crítico (con CVE-2011-3659). Corrige una vulnerabilidad por la que un nodo hijo de nsDOMAttribute podía ser accesible después de ser borrado. Permitiría ejecutar código de forma remota.

MFSA 2012-05: Destinado a solucionar una vulnerabilidad crítica por la que objetos que no son de confianza podrían saltarse una comprobación de seguridad llegando a permitir ataques cross-site scripting a través de páginas web o extensiones de Firefox (CVE-2012-0446).

MFSA 2012-06: De gravedad alta (con CVE-2012-0447). Soluciona un posible desbordamiento de memoria intermedia al codificar imágenes, existiendo la posibilidad de que información sensible sea revelada.

MFSA 2012-07: Considerado crítico (con CVE-2012-0444). Corrige un problema al procesar archivos de audio con formato Ogg Vorbis pudiendo causar una corrupción de memoria y una potencial ejecución de código.

MFSA 2012-08: Vulnerabilidad crítica (con CVE-2012-0449). Corrige un problema que podría causar una potencial ejecución de código al procesar hojas de estilo XSLT.

MFSA 2012-09: Vulnerabilidad de carácter moderado (con CVE-2012-0450). Evita que el archivo con la clave de sincronización ("Firefox Recovery Key.html") de Firefox sea guardado con los permisos inadecuados siendo accesible por otros usuarios en Linux y sistemas OS X. Este fallo, no afecta a Thunderbird.

Todos estos problemas ha sido corregidos en Firefox 10.0, Thunderbird 10.0 y SeaMonkey 2.7, disponibles desde: http://www.mozilla.org/

Más información:

MFSA 2012-09 Firefox Recovery Key.html is saved with unsafe permission

MFSA 2012-08 Crash with malformed embedded XSLT stylesheets

MFSA 2012-07 Potential Memory Corruption When Decoding Ogg Vorbis files

MFSA 2012-06 Uninitialized memory appended when encoding icon images may cause information disclosure

MFSA 2012-05 Frame scripts calling into untrusted objects bypass security checks

MFSA 2012-04 Child nodes from nsDOMAttribute still accessible after removal of nodes

MFSA 2012-03 <iframe> element exposed across domains via name attribute

MFSA 2012-02 Overly permissive IPv6 literal syntax

MFSA 2012-01 Miscellaneous memory safety hazards (rv:10.0/ rv:1.9.2.26)


Daniel Vaca

No hay comentarios:

Publicar un comentario en la entrada