Mozilla Foundation ha publicado nuevas versiones de sus productos (24 para Firefox y Thunderbird, 2.12 para Seamonkey). En esta ocasión se corrigen 19 fallos de seguridad agrupados en 17 boletines, 7 de los cuales se consideran de importancia crítica. En esta versión se deja de dar soporte a las Listas de Revocación de Certificados.
Entre los siete boletines calificados como de importancia crítica y los cuatro de importancia alta se cubre un total de 13 vulnerabilidades. Todas estas permiten la ejecución de código arbitrario de manera remota como consecuencia de fallos de diversa naturaleza, y algunas permiten además otros impactos.
El resto de boletines tratan vulnerabilidades de carácter moderado, que permiten el acceso a información sensible del sistema, el salto de restricciones de seguridad o la denegación de servicio. La gran mayoría de estos boletines afecta a los tres sistemas actualizados, aunque algunos no son aplicables a Thunderbird y Seamonkey.
Los boletines MFSA-2013-84 y MFSA-2013-87 en particular afectan únicamente a la versión de Firefox para sistemas Android. El primero trata un sistema para evadir la política del mismo origen en ficheros locales, utilizando para ellos el protocolo file:// junto con enlaces simbólicos para conseguir acceso a ficheros del sistema o realizar ataques cross-site scripting (XSS). El segundo permitiría la ejecución de código malicioso o el acceso a los datos del navegador al cargar una librería compartida, pero para ello es necesario la instalación de programas maliciosos y no se puede provocar a través de contenido web.
A partir de esta versión se elimina de la interfaz gráfica el acceso a la gestión de las listas de revocación de certificados (CRL) en Firefox. Esta funcionalidad seguirá siendo usada por el navegador, pero se delega la gestión de las CRL a las librerías NSS, pudiéndose gestionar a través de la herramienta crlutil. Esto forma parte de un movimiento de Mozilla hacia un mecanismo que recoja la información de los certificados revocados directamente de las CA intermedias.
Más información:
Mozilla Foundation Security Advisories
Francisco López
Deja una respuesta