La Fundación Mozilla ha publicado nueve boletines de seguridad (del MFSA 2012-01 al MFSA 2012-09) que solucionan diez vulnerabilidades para todos sus productos (Firefox, Thunderbird y SeaMonkey).
Atendiendo al sistema de clasificación de la propia fundación, cinco boletines solucionan vulnerabilidades con impacto considerados como “crítico”, dos de ellos como “alto”, otros dos como “moderado” y un último como “bajo”.
Los boletines publicados son:
MFSA 2012-01: Considerado crítico. Corrige múltiples problemas de seguridad de la memoria en el motor del navegador usado por Firefox (CVE-2012-0443 y CVE-2012-0442).
MFSA 2012-02: Boletín de carácter bajo que añade restricciones a la sintaxis de las direcciones web para evitar una posible revelación de información sensible con determinadas direcciones IPv6 (CVE-2011-3670).
MFSA 2012-03: Vulnerabilidad de gravedad alta (con CVE-2012-0445). Resuelve una vulnerabilidad de cross-site scripting a través de iframes que podría ser usada para ataques de phishing.
MFSA 2012-04: Considerado crítico (con CVE-2011-3659). Corrige una vulnerabilidad por la que un nodo hijo de nsDOMAttribute podía ser accesible después de ser borrado. Permitiría ejecutar código de forma remota.
MFSA 2012-05: Destinado a solucionar una vulnerabilidad crítica por la que objetos que no son de confianza podrían saltarse una comprobación de seguridad llegando a permitir ataques cross-site scripting a través de páginas web o extensiones de Firefox (CVE-2012-0446).
MFSA 2012-06: De gravedad alta (con CVE-2012-0447). Soluciona un posible desbordamiento de memoria intermedia al codificar imágenes, existiendo la posibilidad de que información sensible sea revelada.
MFSA 2012-07: Considerado crítico (con CVE-2012-0444). Corrige un problema al procesar archivos de audio con formato Ogg Vorbis pudiendo causar una corrupción de memoria y una potencial ejecución de código.
MFSA 2012-08: Vulnerabilidad crítica (con CVE-2012-0449). Corrige un problema que podría causar una potencial ejecución de código al procesar hojas de estilo XSLT.
MFSA 2012-09: Vulnerabilidad de carácter moderado (con CVE-2012-0450). Evita que el archivo con la clave de sincronización («Firefox Recovery Key.html«) de Firefox sea guardado con los permisos inadecuados siendo accesible por otros usuarios en Linux y sistemas OS X. Este fallo, no afecta a Thunderbird.
Todos estos problemas ha sido corregidos en Firefox 10.0, Thunderbird 10.0 y SeaMonkey 2.7, disponibles desde: http://www.mozilla.org/
Más información:
MFSA 2012-09 Firefox Recovery Key.html is saved with unsafe permission
MFSA 2012-08 Crash with malformed embedded XSLT stylesheets
MFSA 2012-07 Potential Memory Corruption When Decoding Ogg Vorbis files
MFSA 2012-06 Uninitialized memory appended when encoding icon images may cause information disclosure
MFSA 2012-05 Frame scripts calling into untrusted objects bypass security checks
MFSA 2012-04 Child nodes from nsDOMAttribute still accessible after removal of nodes
MFSA 2012-03 element exposed across domains via name attribute
MFSA 2012-02 Overly permissive IPv6 literal syntax
MFSA 2012-01 Miscellaneous memory safety hazards (rv:10.0/ rv:1.9.2.26)
Daniel Vaca
Deja una respuesta