Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
11/01/2016
Boletines de seguridad de la Fundación Mozilla
La Fundación Mozilla ha publicado boletines de seguridad para sus productos Firefox y Thunderbird, que corrigen diversas vulnerabilidades, algunas de ellas críticas.Para Thunderbird se han publicado 5 boletines, que corrigen sendas vulnerabilidades. Dos de ellas están categorizadas como críticas (MFSA2015-134 y MFSA2015-149), mientras que el resto tienen criticidad alta (MFSA2015-139, MFSA2015-145 y MFSA2015-146). Las vulnerabilidades críticas son un método que permitiría violar las políticas de mismo origen, habilitando al atacante a leer URL de otros sitios y ficheros locales, y varios problemas de validación de memoria que podrían causar el cierre de la aplicación. Las vulnerabilidades de criticidad alta son problemas de desbordamiento de buffer en diversas partes de la aplicación.
Para Firefox se han publicado un total de 17 boletines, siendo 4 de ellos criticos (MFSA2015-134, MFSA2015-138, MFSA2015-148 y MFSA2015-149), 7 con criticidad alta (MFSA2015-135, MFSA2015-136, MFSA2015-139, MFSA2015-140, MFSA2015-145, MFSA2015-146 y MFSA2015-147), 4 más con criticidad moderada (MFSA2015-137, MFSA2015-143, MFSA2015-144 y MFSA2015-150), y el resto leves.
Las vulnerabilidades críticas detectadas para Firefox son, además de las ya mencionadas en Thunderbird, un problema de escalado de privilegios en las API del componente WebExtension y un problema de uso tras liberación en el componente WebRTC.
También destaca el boletín MFSA2015-150 que fue publicado más tarde y soluciona una vulnerabilidad llamada SLOTH y que permite, mediante el uso de MD5 en conexiones TLS1.2, reducir la complejidad de forma que sea computacionalmente factible atacar y descifrar las comunicaciones cifradas.
Sistemas Afectados:Mozilla versiones anteriores a 43.0.2
Thunderbird versiones anteriores a 38.5
Referencias:CVE-2015-7201, CVE-2015-7202, CVE-2015-7203, CVE-2015-7204, CVE-2015-7205, CVE-2015-7207, CVE-2015-7208, CVE-2015-7210, CVE-2015-7211, CVE-2015-7212, CVE-2015-7213, CVE-2015-7214, CVE-2015-7215, CVE-2015-7216, CVE-2015-7217, CVE-2015-7218, CVE-2015-7219, CVE-2015-7220, CVE-2015-7221, CVE-2015-7222, CVE-2015-7223, CVE-2015-7575
Solución:Actualizar a las últimas versiones de Firefox y Thunderbird a través de los actualizadores incluidos en la propia aplicación, o descargar las versiones actualizadas desde las páginas oficiales de descarga de Firefox y Thunderbird.
Notas:Mozilla Security Advisories for Thunderbird
Mozilla Security Advisories for Firefox