La fundación Mozilla publica 14 boletines de seguridad para sus productos

La Fundación Mozilla ha publicado 14 boletines de seguridad (del MFSA 2012-20 al MFSA 2012-33) que solucionan 33 vulnerabilidades para todos sus productos (Firefox, Thunderbird y SeaMonkey).

Atendiendo al sistema de clasificación de la propia fundación, siete boletines solucionan vulnerabilidades con un impacto considerado como "crítico", cuatro son considerados "alto" y los tres restantes son calificados como "moderados".

Los boletines críticos son:

• MFSA 2012-20: Dos vulnerabilidades de corrupción de memoria.
• MFSA 2012-21: 19 vulnerabilidades en FreeType v2.4.9.
• MFSA 2012-22: Uso después de liberar en IDBKeyRange.
• MFSA 2012-23: Ejecución remota de código por una corrupción de "heap" en gfxImageSurface.
• MFSA 2012-25: Corrupción de memoria en el tratamiento de fuentes al usar cairo-dwrite.
• MFSA 2012-30: Problema en WebGL al usar textImage2D
• MFSA 2012-31: posible ejecución de código a través de OpenType Sanitizer.

Los boletines clasificados con un impacto alto son:

• MFSA 2012-24: XSS al procesas algunos juegos de caracteres multibyte.
• MFSA 2012-26: Lectura ilegal de memoria de vídeo a través de WebGL.drawElements por un error en FindMaxUshortElement.
• MFSA 2012-27: XSS por un corto-circuito al cargar determinadas páginas.

Y finalmente los boletines clasificados con un impacto moderado son:

• MFSA 2012-28: Salto de restricciones de control de acceso en determinadas direcciones IPv6.
• MFSA 2012-29: Potencial XSS a través de problemas de decodificación ISO-2022-KR/ISO-2022-CN
• MFSA 2012-32: Lectura de redirecciones http y contenido remoto a través de errores javascript.

Todos estos problemas ha sido corregidos en Firefox 12.0, Firefox ESR 10.0.4, Thunderbird 12.0, Thunderbird ESR 10.0.4 y SeaMonkey 2.9, disponibles desde:

http://www.mozilla.org/

Más información:

MFSA 2012-33 Potential site identity spoofing when loading RSS and Atom feeds

http://www.mozilla.org/security/announce/2012/mfsa2012-33.html

MFSA 2012-32 HTTP Redirections and remote content can be read by javascript errors

http://www.mozilla.org/security/announce/2012/mfsa2012-32.html

MFSA 2012-31 Off-by-one error in OpenType Sanitizer

http://www.mozilla.org/security/announce/2012/mfsa2012-31.html

MFSA 2012-30 Crash with WebGL content using textImage2D

http://www.mozilla.org/security/announce/2012/mfsa2012-30.html

MFSA 2012-29 Potential XSS through ISO-2022-KR/ISO-2022-CN decoding issues

http://www.mozilla.org/security/announce/2012/mfsa2012-29.html

MFSA 2012-28 Ambiguous IPv6 in Origin headers may bypass webserver access restrictions

http://www.mozilla.org/security/announce/2012/mfsa2012-28.html

MFSA 2012-27 Page load short-circuit can lead to XSS

http://www.mozilla.org/security/announce/2012/mfsa2012-27.html

MFSA 2012-26 WebGL.drawElements may read illegal video memory due to FindMaxUshortElement error

http://www.mozilla.org/security/announce/2012/mfsa2012-26.html

MFSA 2012-25 Potential memory corruption during font rendering using cairo-dwrite

http://www.mozilla.org/security/announce/2012/mfsa2012-25.html

MFSA 2012-24 Potential XSS via multibyte content processing errors

http://www.mozilla.org/security/announce/2012/mfsa2012-24.html

MFSA 2012-23 Invalid frees causes heap corruption in gfxImageSurface

http://www.mozilla.org/security/announce/2012/mfsa2012-23.html

MFSA 2012-22 use-after-free in IDBKeyRange

http://www.mozilla.org/security/announce/2012/mfsa2012-22.html

MFSA 2012-21 Multiple security flaws fixed in FreeType v2.4.9

http://www.mozilla.org/security/announce/2012/mfsa2012-21.html

MFSA 2012-20 Miscellaneous memory safety hazards (rv:12.0/ rv:10.0.4)

http://www.mozilla.org/security/announce/2012/mfsa2012-20.html


 

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero