Mozillaha publicado 18 boletines de seguridad (del MFSA 2014-15 al MFSA 2014-32) que corrigen vulnerabilidades que afectan a su navegador web Firefox, al gestor de correo Thunderbird y la suite SeaMonkey. En total se han corregido 20 vulnerabilidades, entre las que se incluyen cinco anunciadas en el concurso Pwn2Own.
Teniendo en cuenta el propio criterio de Mozilla cinco de los boletines tienen un nivel de gravedad «critico«, tres de nivel «alto«, siete de nivel «moderado» y finalmente otros tres de nivel «bajo«.
Los boletines críticos son:
- MFSA 2014-29: Boletín destinado a solucionar dos vulnerabilidades presentadas en el Pwn2Own que usadas de forma combinada (CVE-2014-1510 y CVE-2014-1511) podrían permitir a un atacante cargar una URL JavaScript que se ejecutaría con todos los privilegios del navegador, lo que podría permitir la ejecución de código arbitrario.
- MFSA 2014-30: También procedente del Pwn2Own, una vulnerabilidad al usar memoria liberada en TypeObject (CVE-2014-1512).
- MFSA 2014-31: Este boletín también soluciona una vulnerabilidad anunciada en el Pwn2Ownque puede permitir la ejecución de código arbitrario debido a lecturas y escrituras fuera de límites en el montón JavaScript (CVE-2014-1513).
- MFSA 2014-32: Con este boletín boletín Mozilla termina de corregir los problemas presentados en el Pwn2Own, en esta ocasión se trata de una escritura fuera de los límites de memoria, que puede permitir la ejecución de código arbitrario (CVE-2014-1514).
- MFSA 2014-15: En este boletín se solucionan problemas de seguridad (englobados en los CVE CVE-2014-1493 y CVE-2014-1494) en el motor del navegador usado por Firefox y otros productos Mozilla.
Otros problemas de menor gravedad están relacionados con múltiples causas, como el tratamiento de filtros SVG, de fuentes PDF, de MathML, de WebGL o de archivos WAV entre otros. Podrían permitir denegaciones de servicio, fugas de información, realizar ataques cross-site scripting, escaladas de directorios,
Las versiones de los productos de Mozilla que solucionan todas las vulnerabilidades anteriormente expuestas son las siguientes: Firefox 28, Firefox ESR 24.4, Thunderbird 24.4 y Seamonkey 2.25. Se encuentran disponibles para su descarga a través de los canales habituales o mediante las actualizaciones automáticas.
Más información:
Mozilla Foundation Security Advisories
Antonio Ropero
Twitter: @aropero
