miércoles, 25 de abril de 2012

La fundación Mozilla publica 14 boletines de seguridad para sus productos

La Fundación Mozilla ha publicado 14 boletines de seguridad (del MFSA 2012-20 al MFSA 2012-33) que solucionan 33 vulnerabilidades para todos sus productos (Firefox, Thunderbird y SeaMonkey).


Atendiendo al sistema de clasificación de la propia fundación, siete boletines solucionan vulnerabilidades con un impacto considerado como "crítico", cuatro son considerados "alto" y los tres restantes son calificados como "moderados".

Los boletines críticos son:
  • MFSA 2012-20: Dos vulnerabilidades de corrupción de memoria.
  • MFSA 2012-21: 19 vulnerabilidades en FreeType v2.4.9.
  • MFSA 2012-22: Uso después de liberar en IDBKeyRange.
  • MFSA 2012-23: Ejecución remota de código por una corrupción de "heap" en gfxImageSurface.
  • MFSA 2012-25: Corrupción de memoria en el tratamiento de fuentes al usar cairo-dwrite.
  • MFSA 2012-30: Problema en WebGL al usar textImage2D
  • MFSA 2012-31: posible ejecución de código a través de OpenType Sanitizer.

Los boletines clasificados con un impacto alto son:

  • MFSA 2012-24: XSS al procesas algunos juegos de caracteres multibyte.
  • MFSA 2012-26: Lectura ilegal de memoria de vídeo a través de WebGL.drawElements por un error en FindMaxUshortElement.
  • MFSA 2012-27: XSS por un corto-circuito al cargar determinadas páginas.

Y finalmente los boletines clasificados con un impacto moderado son:
  • MFSA 2012-28: Salto de restricciones de control de acceso en determinadas direcciones IPv6.
  • MFSA 2012-29: Potencial XSS a través de problemas de decodificación ISO-2022-KR/ISO-2022-CN
  • MFSA 2012-32: Lectura de redirecciones http y contenido remoto a través de errores javascript.

Todos estos problemas ha sido corregidos en Firefox 12.0, Firefox ESR 10.0.4, Thunderbird 12.0, Thunderbird ESR 10.0.4 y SeaMonkey 2.9, disponibles desde:

Más información:

MFSA 2012-33 Potential site identity spoofing when loading RSS and Atom feeds

MFSA 2012-32 HTTP Redirections and remote content can be read by javascript errors

MFSA 2012-31 Off-by-one error in OpenType Sanitizer

MFSA 2012-30 Crash with WebGL content using textImage2D

MFSA 2012-29 Potential XSS through ISO-2022-KR/ISO-2022-CN decoding issues

MFSA 2012-28 Ambiguous IPv6 in Origin headers may bypass webserver access restrictions

MFSA 2012-27 Page load short-circuit can lead to XSS

MFSA 2012-26 WebGL.drawElements may read illegal video memory due to FindMaxUshortElement error

MFSA 2012-25 Potential memory corruption during font rendering using cairo-dwrite

MFSA 2012-24 Potential XSS via multibyte content processing errors

MFSA 2012-23 Invalid frees causes heap corruption in gfxImageSurface

MFSA 2012-22 use-after-free in IDBKeyRange

MFSA 2012-21 Multiple security flaws fixed in FreeType v2.4.9

MFSA 2012-20 Miscellaneous memory safety hazards (rv:12.0/ rv:10.0.4)

1 comentario:

  1. Muy interesante noticia, pero sugiero que en lugar de http://www.mozilla.org/ pungáis el enlace en español.
    Saludos,
    Isidro Gutiérrez

    ResponderEliminar