Entre los siete boletines
calificados como de importancia crítica y los cuatro de importancia alta se
cubre un total de 13 vulnerabilidades.
Todas estas permiten la ejecución de
código arbitrario de manera remota como
consecuencia de fallos de diversa naturaleza, y algunas permiten además otros
impactos.
El resto de boletines tratan
vulnerabilidades de carácter moderado, que permiten el acceso a información
sensible del sistema, el salto de restricciones de seguridad o la denegación de
servicio. La gran mayoría de estos boletines afecta a los tres sistemas
actualizados, aunque algunos no son aplicables a Thunderbird y Seamonkey.
Los boletines MFSA-2013-84 y
MFSA-2013-87 en particular afectan únicamente a la versión de Firefox para
sistemas Android. El primero trata un sistema para evadir la política del mismo
origen en ficheros locales, utilizando para ellos el protocolo file:// junto
con enlaces simbólicos para conseguir acceso a ficheros del sistema o realizar
ataques cross-site scripting (XSS). El segundo permitiría la ejecución de
código malicioso o el acceso a los datos del navegador al cargar una librería
compartida, pero para ello es necesario la instalación de programas maliciosos
y no se puede provocar a través de contenido web.
A partir de esta versión se
elimina de la interfaz gráfica el acceso a la gestión de las listas de
revocación de certificados (CRL) en Firefox. Esta funcionalidad seguirá siendo
usada por el navegador, pero se delega la gestión de las CRL a las librerías
NSS, pudiéndose gestionar a través de la herramienta crlutil. Esto forma parte
de un movimiento de Mozilla hacia un mecanismo que recoja la información de los
certificados revocados directamente de las CA intermedias.
Más información:
Mozilla Foundation Security
Advisories
Francisco López
No hay comentarios:
Publicar un comentario