domingo, 14 de febrero de 2016

Mozilla publica actualizaciones para Firefox y Firefox ESR

La Fundación Mozilla ha publicado dos boletines de seguridad considerados críticos (MFSA 2016-13 y MFSA 2016-14) destinados a corregir una vulnerabilidad en el navegador Firefox y otras cinco en la versión ESR de soporte extendido.

El primer problema (CVE-2016-1949) reside en que workers de servicio interceptan respuestas a peticiones del plugin de red realizadas a través del navegador. Los plugins que toman decisiones de seguridad basándose en el contenido de las peticiones de red pueden ver esas decisiones alteradas si un worker de servicio falsifica las respuestas a las peticiones. Por ejemplo, un crossdomain.xml falsificado podría permitir a un sitio malicioso evitar la política de mismo origen mediante el plugin Flash.

Por otra parte, también se ha detectado que una "smart font" de Graphite, puede evitar la validación de los parámetros de instrucciones internas en la librería Graphite 2 mediante instrucciones CNTXT_ITEM. Esto podría permitir la ejecución de código arbitrario. Este problema (CVE-2016-1523) afecta a Graphite 2 versión 1.2.4, que se emplea en la rama Firefox ESR.

También se han corregido otras cuatro vulnerabilidades en el mismo motor detectadas por el equipo de Cisco Talos. Estos problemas resultaban en una lectura fuera de límites, un desbordamiento de búfer y dos denegaciones de servicio. Firefox ESR ha actualizado la librería afectada a la versión 1.3.5, la misma empleada por Firefox 44. (CVE-2016-1521 al CVE-2016-1523 y CVE-2016-1526)

Para corregir estas vulnerabilidades, se han publicado las versiones Firefox 44.0.2 y Firefox ESR 38.6.1, disponibles para su descarga a través de los canales habituales o mediante las actualizaciones automáticas.

Más información:

MFSA 2016-14 Vulnerabilities in Graphite 2

MFSA 2016-13 Same-origin-policy violation using Service Workers with plugins

Vulnerability Spotlight: Libgraphite Font Processing Vulnerabilities


Antonio Ropero
Twitter: @aropero


No hay comentarios:

Publicar un comentario en la entrada