La Fundación Mozilla ha publicado ocho boletines de seguridad(del MFSA 2012-12 al MFSA 2012-19) que solucionan 12 vulnerabilidades para todos sus productos (Firefox, Thunderbird y SeaMonkey).
Atendiendo al sistema de clasificación de la propia fundación, cinco boletines solucionan vulnerabilidades con un impacto considerado como «crítico» y los tres restantes son calificados como «moderados«.
Los boletines publicados son:
- MFSA 2012-12: Considerado crítico. Corrige un problema de relacionado con uso de memoria después de haber sido liberada en shlwapi.dll(CVE-2012-0454). Este problema no afecta a Firefox 3.6 y Thunderbird 3.1.
- MFSA 2012-13: Boletín de carácter moderado que previene de ataques de cross-site scripting en la función de arrastrar y soltar con enlaces javascript (CVE-2012-0455).
- MFSA 2012-14: Boletín considerado crítico, que corrige dos vulnerabilidades en el tratamiento de SVG (con CVE-2012-0456y CVE-2012-0457).
- MFSA 2012-15: Vulnerabilidad de gravedad moderada (con CVE-2012-0451). Corrige una vulnerabilidad de cross-site scripting en páginas con múltiples cabeceras Content Security Policy (CSP).
- MFSA 2012-16: Destinado a solucionar una vulnerabilidad crítica que podría permitir la escalada de privilegios a través de «javascript: URL» si un usuario configura una nueva página de inicio arrastrando un enlace al botón «home«. (CVE-2012-0458).
- MFSA 2012-17: De gravedad crítica (con CVE-2012-0459). Soluciona una caída al acceder a keyframe cssText tras una modificación dinámica. Este problema no afecta a Firefox 3.6 y Thunderbird 3.1.
- MFSA 2012-18: Considerado moderado (con CVE-2012-0460). Window.fullScreen no tiene las protecciones de seguridad adecuadas, lo que permite que se pueda escribir contenido no confiable. Este problema no afecta a Firefox 3.6 y Thunderbird 3.1.
- MFSA 2012-19: Boletín crítico que corrige cuatro problemas de seguridad (CVE-2012-0461a CVE-2012-0463) en el motor del navegador empleado por Firefox y otros productos Mozilla.
Todos estos problemas ha sido corregidos en Firefox 11.0, Firefox ESR 10.0.3, Firefox 3.6.28, Thunderbird 11.0, Thunderbird ESR 10.0.3, Thunderbird 3.1.20 y SeaMonkey 2.8, disponibles desde: http://www.mozilla.org/
Más información:
MFSA 2012-19 Miscellaneous memory safety hazards (rv:11.0/ rv:10.0.3 / rv:1.9.2.28)
MFSA 2012-18 window.fullScreen writeable by untrusted content
MFSA 2012-17 Crash when accessing keyframe cssText after dynamic modification
MFSA 2012-16 Escalation of privilege with Javascript: URL as home page
MFSA 2012-15 XSS with multiple Content Security Policy headers
MFSA 2012-14 SVG issues found with Address Sanitizer
MFSA 2012-13 XSS with Drag and Drop and Javascript: URL
MFSA 2012-12 Use-after-free in shlwapi.dll
Antonio Ropero
Twitter: @aropero
