jueves, 19 de julio de 2012

Boletines de seguridad y nuevas funcionalidades para productos Mozilla


En total, han sido 14 boletines los publicados, que cubren 18 vulnerabilidades de importancias critica, alta y moderada. Además, en Firefox se introduce por defecto el protocolo SSL en las búsquedas de Google.

Además de las correcciones comentadas más abajo, una de las novedades más importantes en esta nueva versión es la inclusión por defecto de SSL en las búsquedas en Google, ya sea a través de la barra de direcciones, la barra de búsqueda o el menú contextual. Esta mejora tiene un doble objetivo: en primer lugar, cifrar las consultas de los usuarios de Firefox al buscador para protegerlos en entornos donde se monitorice el tráfico de red o se puedan censurar o modificar los resultados.

En segundo lugar, evita que los términos de la búsqueda se propaguen a través del "referer". Este campo de la cabecera HTTP almacena el sitio web inmediatamente anterior que se ha visitado y se lo traspasa a la nueva página que se visita. Google, al utilizarse SSL, elimina la parte del referer que muestra los términos de la consulta, no quedando registrados en los logs de acceso del sitio objetivo.

Por ejemplo, si buscásemos el termino "Hispasec" en http://www.google.es/, en el referer quedaría algo como:


Que muestra información relativa a la consulta (q=hispasec) y al navegador (sourceid=chrome). Al pulsar sobre un enlace, toda esta información podría quedar registrada en los logs del sitio que visitemos. Sin embargo, si usamos SSL a través de https://www.google.es/, lo que viajaría en el referer sería, simplemente:


Eliminando esta información y mejorando la privacidad... excepto para los anuncios patrocinados de Google. En ese caso, la información del referer sí sería enviada. Google justifica este comportamiento apelando a la necesidad de los anunciantes de conocer los movimientos de los clientes potenciales y así afinar su público objetivo.

Google lleva tiempo implementando este sistema en Chrome, al que ahora se le une Firefox. Mozilla espera que otros motores de búsqueda den soporte a esta funcionalidad en el futuro.

Además, se ha introducido un cambio en la forma en la que se muestra la información de cifrado del sitio, haciéndola más simple e impidiendo que se produzca la suplantación de sitios legítimos usando su favicon. Ahora el favicon sólo puede tomar tres iconos, correspondientes a sitios sin cifrado, con cifrado SSL y con Certificado de Validación extendida.

Respecto a las vulnerabilidades corregidas, han sido finalmente 14 boletines que afectan a Firefox, Thunderbird y SeaMonkey, y que pasamos a comentar a continuación:

Cinco de importancia crítica

MFSA 2012-56: Una vulnerabilidad de ejecución de código remoto a través de URLs con el formato javascript:.
MFSA 2012-52: Corrupción de memoria a través de conversiones de JSDependentString::undepend a cadenas fijas.
MFSA 2012-49: Un salto de restricciones de seguridad de los SCSW.
MFSA 2012-44: Cuatro vulnerabilidades de corrupción de memoria a través de varias funciones.
MFSA 2012-42: Otras dos corrupciones de memoria que afectan principalmente a Firefox.

Cuatro de importancia alta

MFSA 2012-47: Cross-site scripting a través del protocolo feed, que permite la ejecución de código javascript.
MFSA 2012-46: Ejecución de código debido a un XSS a través de URLS del tipo data:.
MFSA 2012-45: Una vulnerabilidad que podría dar lugar a la suplantación de URIs.
MFSA 2012-53: Una vulnerabilidad que podría permitir el robo de
credenciales OpenID y tokens OAuth a través de Content Security Policy (CSP).

Cinco de importancia moderada.

MFSA 2012-55: Un ataque XSS a través del protocolo feed:.
MFSA 2012-51: Secuestro de clicks a través de la cabecera X-Frame-Options.
MFSA 2012-50: Revelación de información confidencial a través de las
librerías de administración de colores de Mozilla.
MFSA 2012-48: Ejecución de código arbitrario a través de
nsGlobalWindow::PageHidden.
MFSA 2012-43: Suplantación de sitios web a través del arrastre de URIs a
la barra de direcciones.

La solución a estas vulnerabilidades y las nuevas funcionalidades del navegador se han introducido en las versiones Firefox 14, Firefox ESR 10.0.6,Thunderbird 14, Thunderbird ESR 10.0.6 y SeaMonkey 2.11, que pueden descargarse ya desde el sitio oficial de Mozilla

Más información:

Known vulnerabilities in Mozilla Products

Firefox release notes

Mozilla Foundation Security Advisories

MFSA 2012-56 Code execution through javascript: URLs

MFSA 2012-55 feed: URLs with an innerURI inherit security context of page

MFSA 2012-54 Clickjacking of certificate warning page

MFSA 2012-53 Content Security Policy 1.0 implementation errors cause data leakage

MFSA 2012-52 JSDependentString::undepend string conversion results in memory corruption

MFSA 2012-51 X-Frame-Options header ignored when duplicated

MFSA 2012-50 Out of bounds read in QCMS

MFSA 2012-49 Same-compartment Security Wrappers can be bypassed

MFSA 2012-48 use-after-free in nsGlobalWindow::PageHidden

MFSA 2012-47 Improper filtering of javascript in HTML feed-view

MFSA 2012-46 XSS through data: URLs

MFSA 2012-45 Spoofing issue with location

MFSA 2012-44 Gecko memory corruption

MFSA 2012-43 Incorrect URL displayed in addressbar through drag and drop

MFSA 2012-42 Miscellaneous memory safety hazards (rv:14.0/ rv:10.0.6)


Francisco López

No hay comentarios:

Publicar un comentario en la entrada