jueves, 12 de diciembre de 2013

Mozilla pública 14 boletines de seguridad.

Mozilla ha publicado 14 boletines de seguridad (del MFSA 2013-104 al MFSA 2013-117)  que corrigen vulnerabilidades que afectan a su navegador web Firefox, al gestor de correo Thunderbird y la suite SeaMonkey. Teniendo en cuenta el propio criterio de Mozilla cinco de los boletines tienen un nivel de gravedad "critico", tres de nivel "alto", tres de nivel "moderado" y finalmente otros tres de nivel "bajo". Con este boletín se resuelven más de 15 vulnerabilidades.

Aunque Mozilla no tiene un ciclo definido de actualizaciones, suele publicar actualizaciones de seguridad prácticamente de forma mensual. Aunque aún pueden salir boletines antes de fin de año, Mozilla ha publicado 117 boletines este año (un número superior al de boletines publicados por Microsoft), frente a las más de 110 del año anterior.

Los boletines críticos son: 
  • MFSA 2013-114: Boletín destinado a solucionar una vulnerabilidad en la que se puede producir una ejecución de código arbitraria debido a errores, que hacen uso de memoria liberada, en las funciones que manejan el movimiento del ratón.
        
  • MFSA 2013-111: Este boletín soluciona una vulnerabilidad que puede permitir la ejecución de código arbitrario debido a una violación de segmento producida al insertar una lista ordenada en un documento.
        
  • MFSA 2013-109: La actualización soluciona una vulnerabilidad relacionada con la función 'nsNodeUtils::LastRelease' (Interfaz del usuario para la edición de tablas) al producirse errores al usar memoria liberada, lo cual podría ser usado para provocar una denegación de servicio.
        
  • MFSA 2013-108: Boletín destinado a solucionar una vulnerabilidad en la función 'nsEventListenerManager::HandleEventSubType' (listener de eventos) al producirse errores al usar memoria liberada, lo cual podría ser usado para provocar una denegación de servicio.
        
  • MFSA 2013-104: En este boletín se solucionan un par de vulnerabilidades que pueden permitir la ejecución de código arbitraria debido a corrupciones de memoria producidas por múltiples errores.

El primero de los boletines de nivel alto (MFSA 2013-117) está destinado solucionar el problema creado por el uso de certificados no autorizados detectado recientemente para múltiples dominios de Google. Existen otras dos vulnerabilidades (MFSA 2013-116) de fuga de información relacionadas con el tratamiento de imágenes con formato jpeg, en la libería libjpeg y un problema (MFSA 2013-115) relacionado con "GetElementIC".

De nivel moderado, (MFSA 2013-113) un problema relacionado con la configuración de confianza para los certificados, (MFSA 2013-110) un desbordamiento en los algoritmos de búsqueda binaria en javaScript y un problema (MFSA 2013-105) en la notificación doorhanger

Por último tres vulnerabilidades de gravedad baja, (MFSA 2013-105) una relacionada con una divulgación del contenido del portapapeles en sistemas Linux, (MFSA 2013-107) un problema con la aplicación de restricciones en "<iframe sandbox>" y por último (MFSA 2013-106una vulnerabilidad de cross-site scripting relacionada con la información del conjunto de caracteres.

Las versiones de los productos de Mozilla que solucionan todas las vulnerabilidades anteriormente expuestas son las siguientes: Firefox 26, Firefox ESR 24.2, Thunderbird 24.2 y Seamonkey 2.23. Se encuentran disponibles para su descarga a través de los canales habituales o mediante las actualizaciones automáticas.

Más información:

Mozilla Foundation Security Advisories



Juan Sánchez
Antonio Ropero
Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada