jueves, 15 de marzo de 2012

La fundación Mozilla publica ocho boletines de seguridad para sus productos


La Fundación Mozilla ha publicado ocho boletines de seguridad (del MFSA 2012-12 al MFSA 2012-19) que solucionan 12 vulnerabilidades para todos sus productos (Firefox, Thunderbird y SeaMonkey).

Atendiendo al sistema de clasificación de la propia fundación, cinco boletines solucionan vulnerabilidades con un impacto considerado como "crítico" y los tres restantes son calificados como "moderados".

Los boletines publicados son:

  • MFSA 2012-12: Considerado crítico. Corrige un problema de relacionado con uso de memoria después de haber sido liberada en shlwapi.dll (CVE-2012-0454). Este problema no afecta a Firefox 3.6 y Thunderbird 3.1.
         
  • MFSA 2012-13: Boletín de carácter moderado que previene de ataques de cross-site scripting en la función de arrastrar y soltar con enlaces javascript (CVE-2012-0455).
      
  • MFSA 2012-14: Boletín considerado crítico, que corrige dos vulnerabilidades en el tratamiento de SVG (con CVE-2012-0456 y CVE-2012-0457).
       
  • MFSA 2012-15: Vulnerabilidad de gravedad moderada (con CVE-2012-0451). Corrige una vulnerabilidad de cross-site scripting en páginas con múltiples cabeceras Content Security Policy (CSP).
       
  • MFSA 2012-16: Destinado a solucionar una vulnerabilidad crítica que podría permitir la escalada de privilegios a través de "javascript: URL" si un usuario configura una nueva página de inicio arrastrando un enlace al botón "home". (CVE-2012-0458).
       
  • MFSA 2012-17: De gravedad crítica (con CVE-2012-0459). Soluciona una caída al acceder a keyframe cssText tras una modificación dinámica. Este problema no afecta a Firefox 3.6 y Thunderbird 3.1.
       
  • MFSA 2012-18: Considerado moderado (con CVE-2012-0460). Window.fullScreen no tiene las protecciones de seguridad adecuadas, lo que permite que se pueda escribir contenido no confiable. Este problema no afecta a Firefox 3.6 y Thunderbird 3.1.
       
  • MFSA 2012-19: Boletín crítico que corrige cuatro problemas de seguridad (CVE-2012-0461 a CVE-2012-0463) en el motor del navegador empleado por Firefox y otros productos Mozilla.  

Todos estos problemas ha sido corregidos en Firefox 11.0, Firefox ESR 10.0.3, Firefox 3.6.28, Thunderbird 11.0, Thunderbird ESR 10.0.3, Thunderbird 3.1.20 y SeaMonkey 2.8, disponibles desde: http://www.mozilla.org/

Más información:

MFSA 2012-19 Miscellaneous memory safety hazards (rv:11.0/ rv:10.0.3 / rv:1.9.2.28)
http://www.mozilla.org/security/announce/2012/mfsa2012-19.html

MFSA 2012-18 window.fullScreen writeable by untrusted content
http://www.mozilla.org/security/announce/2012/mfsa2012-18.html

MFSA 2012-17 Crash when accessing keyframe cssText after dynamic modification
http://www.mozilla.org/security/announce/2012/mfsa2012-17.html

MFSA 2012-16 Escalation of privilege with Javascript: URL as home page
http://www.mozilla.org/security/announce/2012/mfsa2012-16.html

MFSA 2012-15 XSS with multiple Content Security Policy headers
http://www.mozilla.org/security/announce/2012/mfsa2012-15.html

MFSA 2012-14 SVG issues found with Address Sanitizer
http://www.mozilla.org/security/announce/2012/mfsa2012-14.html

MFSA 2012-13 XSS with Drag and Drop and Javascript: URL
http://www.mozilla.org/security/announce/2012/mfsa2012-13.html

MFSA 2012-12 Use-after-free in shlwapi.dll
http://www.mozilla.org/security/announce/2012/mfsa2012-12.html


Antonio Ropero
antonior@hispasec.com 
Twitter: @aropero

No hay comentarios:

Publicar un comentario