Mozilla
ha publicado una actualización de la librería Network
Security Services (NSS) empleada en algunos de sus proyectos con objeto de
corregir diversos problemas clasificados con diferentes niveles de gravedad (desde
leve a crítica).
La librería se
actualiza a la versión NSS 3.15.3 con la excepción de las versiones ESR17 en
las que se actualiza a NSS 3.14.5. La librería NSS es la encargada de añadir el
soporte para SSL, S/MIME y otros estándares de seguridad en Internet. NSS proporciona
una implementación completa open-source de las librerías criptográficas y se
emplea por múltiples productos y fabricantes como AOL, Red Hat o Sun.
El primero de
los problemas corregidos reside en un desbordamiento de búfer (con CVE-2013-5605)
corregido en las dos nuevas versiones de la librería NSS. Otro problema (con CVE-2013-5606)
consiste en que si se usa la característica verifylog cuando se validan certificados
no se rechazan los certificados con restricciones de uso de clave incompatibles.
Aunque este problema no afecta directamente a Firefox podría afectar a otro
software que haga uso de la librería afectada.
Otra
vulnerabilidad corregida (CVE-2013-1741)
se presenta en forma de denegación de servicio en el tratamiento de certificados
en sistemas de 64 bits. Un problema de truncado de enteros en PL_ArenaAllocate (CVE-2013-5607)
y por último se ha bajado la prioridad del cifrado RC4 para que el servidor
elija cifrados más seguros que el RC4 (CVE-2013-2566).
Se han publicado las versiones Firefox
25.0.1, Firefox ESR 24.1.1, Firefox ESR 17.0.11 y Seamonkey 2.22.1 que incluyen
la librería actualizada, disponibles a través del sitio oficial de descargas de
Firefox: http://www.mozilla.org/es-ES/firefox/new/
Más información:
Mozilla Foundation Security
Advisory 2013-103
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario