En
total, han sido 14
boletines los publicados, que cubren 18
vulnerabilidades de importancias critica, alta y moderada. Además, en Firefox
se introduce por defecto el protocolo SSL en las búsquedas de Google.
Además de las correcciones
comentadas más abajo, una de las novedades
más importantes en esta nueva versión es la inclusión por defecto de SSL en las
búsquedas en Google, ya sea a través de la barra de direcciones, la barra
de búsqueda o el menú contextual. Esta mejora tiene un doble objetivo: en
primer lugar, cifrar las consultas de los usuarios de Firefox al buscador para
protegerlos en entornos donde se monitorice el tráfico de red o se puedan
censurar o modificar los resultados.
En segundo lugar, evita que los términos de la búsqueda se
propaguen a través del "referer". Este campo de la cabecera HTTP
almacena el sitio web inmediatamente anterior que se ha visitado y se lo
traspasa a la nueva página que se visita. Google, al utilizarse SSL, elimina la
parte del referer que muestra los términos de la consulta, no quedando registrados
en los logs de acceso del sitio objetivo.
Por ejemplo, si buscásemos el
termino "Hispasec" en http://www.google.es/, en el referer quedaría
algo como:
Que muestra información relativa
a la consulta (q=hispasec) y al navegador (sourceid=chrome). Al pulsar sobre un
enlace, toda esta información podría quedar registrada en los logs del sitio
que visitemos. Sin embargo, si usamos SSL a través de https://www.google.es/, lo que viajaría en el
referer sería, simplemente:
Eliminando esta información y mejorando la privacidad... excepto para
los anuncios patrocinados de Google. En ese caso, la información del referer sí
sería enviada. Google justifica este comportamiento apelando a la necesidad de
los anunciantes de conocer los movimientos de los clientes potenciales y así
afinar su público objetivo.
Google lleva tiempo implementando
este sistema en Chrome, al que ahora se le une Firefox. Mozilla espera que
otros motores de búsqueda den soporte a esta funcionalidad en el futuro.
Además, se ha introducido un
cambio en la forma en la que se muestra la información de cifrado del sitio,
haciéndola más simple e impidiendo que se
produzca la suplantación de sitios legítimos usando su favicon. Ahora el
favicon sólo puede tomar tres iconos, correspondientes a sitios sin cifrado,
con cifrado SSL y con Certificado de Validación extendida.
Respecto a las vulnerabilidades
corregidas, han sido finalmente 14 boletines que afectan a Firefox, Thunderbird
y SeaMonkey, y que pasamos a comentar a continuación:
Cinco de importancia crítica
MFSA
2012-56: Una vulnerabilidad de ejecución de código remoto a través de URLs
con el formato javascript:.
MFSA
2012-52: Corrupción de memoria a través de conversiones de JSDependentString::undepend
a cadenas fijas.
MFSA
2012-49: Un salto de restricciones de seguridad de los SCSW.
MFSA
2012-44: Cuatro vulnerabilidades de corrupción de memoria a través de
varias funciones.
MFSA 2012-42:
Otras dos corrupciones de memoria que afectan principalmente a Firefox.
Cuatro de importancia alta
MFSA
2012-47: Cross-site scripting a través del protocolo feed, que permite la
ejecución de código javascript.
MFSA
2012-46: Ejecución de código debido a un XSS a través de URLS del tipo
data:.
MFSA
2012-45: Una vulnerabilidad que podría dar lugar a la suplantación de URIs.
MFSA
2012-53: Una vulnerabilidad que podría permitir el robo de
credenciales OpenID y tokens
OAuth a través de Content Security Policy (CSP).
Cinco de importancia moderada.
MFSA
2012-55: Un ataque XSS a través del protocolo feed:.
MFSA
2012-51: Secuestro de clicks a través de la cabecera X-Frame-Options.
MFSA
2012-50: Revelación de información confidencial a través de las
librerías de administración de
colores de Mozilla.
MFSA
2012-48: Ejecución de código arbitrario a través de
nsGlobalWindow::PageHidden.
MFSA
2012-43: Suplantación de sitios web a través del arrastre de URIs a
la barra de direcciones.
La solución a estas vulnerabilidades
y las nuevas funcionalidades del navegador se han introducido en las versiones
Firefox 14, Firefox ESR 10.0.6,Thunderbird 14, Thunderbird ESR 10.0.6 y
SeaMonkey 2.11, que pueden descargarse ya desde el sitio oficial de Mozilla
Más información:
Known vulnerabilities in Mozilla Products
Firefox release notes
Mozilla Foundation Security Advisories
MFSA 2012-56 Code execution through javascript:
URLs
MFSA 2012-55 feed: URLs with an innerURI
inherit security context of page
MFSA 2012-54 Clickjacking of certificate
warning page
MFSA 2012-53 Content Security Policy 1.0
implementation errors cause data leakage
MFSA 2012-52 JSDependentString::undepend string
conversion results in memory corruption
MFSA 2012-51 X-Frame-Options header ignored
when duplicated
MFSA 2012-50 Out of bounds read in QCMS
MFSA 2012-49 Same-compartment Security Wrappers
can be bypassed
MFSA 2012-48 use-after-free in
nsGlobalWindow::PageHidden
MFSA 2012-47 Improper filtering of javascript
in HTML feed-view
MFSA 2012-46 XSS through data: URLs
MFSA 2012-45 Spoofing issue with location
MFSA 2012-44 Gecko memory corruption
MFSA 2012-43 Incorrect URL displayed in
addressbar through drag and drop
MFSA 2012-42 Miscellaneous memory safety
hazards (rv:14.0/ rv:10.0.6)
Francisco López
No hay comentarios:
Publicar un comentario