La Fundación Mozilla cierra el año publicando siete boletines de seguridad (del MFSA2011-53 al MFSA2011-59) para solucionar múltiples vulnerabilidades en productos Mozilla (Firefox, Thunderbird y SeaMonkey).
Según la propia clasificación de la fundación Mozilla, cinco de los boletines han sido clasificados con un impacto «crítico», uno de ellos con gravedad «alta» y un último como «moderado».
Los boletines publicados son:
-
MFSA 2011-53: Boletín crítico, que corrige múltiples problemas de seguridad de la memoria en el motor del navegador empleado por Firefox, Thunderbird y SeaMonkey (CVE-2011-3647).
-
MFSA 2011-54: Considerado crítico. Resuelve una caída en la librería de expresiones regulares YARR (CVE-2011-3661).
-
MFSA 2011-55: Boletín de carácter crítico, destinado a resolver un fallo (CVE-2011-3658) en la implementación SVG de Mozilla.
-
MFSA 2011-56: Boletín destinado a evitar una vulnerabilidad de gravedad moderada (con CVE-2011-3663), debido a la posibilidad de detectar pulsaciones de teclas a través de animaciones SVG, incluso con JavaScript desactivado.
-
MFSA 2011-57: Vulnerabilidad de gravedad alta, con CVE-2011-3664, por una caída cuando un «plugin» se elimina a sí mismo en Mac OS X.
-
MFSA 2011-58: Boletín de gravedad crítica, con CVE-2011-3665, por una caída al escalar vídeo a grandes tamaños,
-
MFSA 2011-59: Vulnerabilidad crítica, con CVE-2011-3666, debido a que en sistemas Mac los .jar no se tratan como ejecutables en Firefox 3.6.
Los problemas se han corregido en Firefox 9.0, Thunderbird 9.0 y SeaMonkey 2.6, disponibles desde: http://www.mozilla.org/
Más información:
MFSA 2011-53 Miscellaneous memory safety hazards (rv:9.0)
MFSA 2011-54 Potentially exploitable crash in the YARR regular expression library
MFSA 2011-55 nsSVGValue out-of-bounds access
MFSA 2011-56 Key detection without JavaScript via SVG animation
MFSA 2011-57 Crash when plugin removes itself on Mac OS X
MFSA 2011-58 Crash scaling to extreme sizes
MFSA 2011-59 .jar not treated as executable in Firefox 3.6 on Mac
Antonio Ropero
Twitter: @aropero
