Mozilla
ha publicado dos boletines de seguridad (del MFSA 2015-28 y MFSA 2015-29) que
corrigen las dos vulnerabilidades críticas
que afectan a su navegador web Firefox (y la suite SeaMonkey) anunciadas en
el concurso Pwn2Own.
El boletín MFSA
2015-28 está destinado a solucionar una vulnerabilidad (CVE-2015-0818)
reportada por Mariusz Mlynski que podría permitir a un atacante ejecutar
scripts en un contexto privilegiado. Un fallo en el tratamiento del formato SVG
podría permitir evitar la protección de la política de mismo origen.
Por otra parte, el MFSA
2015-28 soluciona la vulnerabilidad (CVE-2015-0817)
reportada por ilxu1a consistente en un fallo en la implementación de la
comprobación de límites de arrays tipados en la compilación en tiempo de
ejecución de Javascript y la administración de la comprobación de límites en el
acceso al heap. Esto podría dar lugar a una vulnerabilidad de lectura y
escritura fuera de límites que permitía la ejecución de código.
Las versiones de los productos de
Mozilla que solucionan estas vulnerabilidades son Firefox 36.0.4, Firefox ESR
31.5.3 y SeaMonkey 2.33.1. Se encuentran disponibles para su descarga a través
de los canales habituales o mediante las actualizaciones automáticas.
Más información:
Privilege escalation through SVG navigation
Code execution through incorrect JavaScript
bounds checking elimination
una-al-dia (21/03/2015) Internet
Explorer, Firefox, Chrome y Safari caen en el Pwn2Own 2015
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario