Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
27/04/2012
La fundación Mozilla publica 14 boletines de seguridad para sus productos
La Fundación Mozilla ha publicado 14 boletines de seguridad (del MFSA 2012-20 al MFSA 2012-33) que solucionan 33 vulnerabilidades para todos sus productos (Firefox, Thunderbird y SeaMonkey).Riesgo: Alto
Atendiendo al sistema de clasificación de la propia fundación, siete boletines solucionan vulnerabilidades con un impacto considerado como "crítico", cuatro son considerados "alto" y los tres restantes son calificados como "moderados".
Los boletines críticos son:
- MFSA 2012-20: Dos vulnerabilidades decorrupción de memoria.
- MFSA 2012-21: 19 vulnerabilidades en FreeType v2.4.9.
- MFSA 2012-22: Uso después de liberar en IDBKeyRange.
- MFSA 2012-23: Ejecución remota de código por una corrupción de "heap" en gfxImageSurface.
- MFSA 2012-25: Corrupción de memoria en el tratamiento de fuentes al usar cairo-dwrite.
- MFSA 2012-30: Problema en WebGL al usar textImage2D
- MFSA 2012-31: posible ejecución de código a través de OpenType Sanitizer.
Los boletines clasificados con un impacto alto son:
- MFSA 2012-24: XSS al procesas algunos juegos de caracteres multibyte.
- MFSA 2012-26: Lectura ilegal de memoria de vídeo a través de WebGL.drawElements por un error en FindMaxUshortElement.
- MFSA 2012-27: XSS por un corto-circuito al cargar determinadas páginas.
Y finalmente los boletines clasificados con un impacto moderado son:
- MFSA 2012-28: Salto de restricciones de control de acceso en determinadas direcciones IPv6.
- MFSA 2012-29: Potencial XSS a través de problemas de decodificación ISO-2022-KR/ISO-2022-CN
- MFSA 2012-32: Lectura de redirecciones http y contenido remoto a través de errores javascript.
Firefox, Thunderbird y SeaMonkey.
Referencias:None
Solución:
Todos estos problemas ha sido corregidos en Firefox 12.0, Firefox ESR 10.0.4, Thunderbird 12.0, Thunderbird ESR 10.0.4 y SeaMonkey 2.9, disponibles desde:
Notas:
MFSA 2012-33 Potential site identity spoofing when loading RSS and Atom feeds http://www.mozilla.org/security/announce/2012/mfsa2012-33.html
MFSA 2012-32 HTTP Redirections and remote content can be read by javascript errors
MFSA 2012-31 Off-by-one error in OpenType Sanitizer
MFSA 2012-30 Crash with WebGL content using textImage2D
MFSA 2012-29 Potential XSS through ISO-2022-KR/ISO-2022-CN decoding issues
MFSA 2012-28 Ambiguous IPv6 in Origin headers may bypass webserver access restrictions
MFSA 2012-27 Page load short-circuit can lead to XSS
MFSA 2012-26 WebGL.draw Elements may read illegal video memory due to FindMaxUshortElement error
MFSA 2012-25 Potential memory corruption during font rendering using cairo-dwrite
MFSA 2012-24 Potential XSS via multibyte content processing errors
MFSA 2012-23 Invalid frees causes heap corruption in gfxImageSurface
MFSA 2012-22 use-after-free in IDBKeyRange
MFSA 2012-21 Multiple security flaws fixed in FreeType v2.4.9
MFSA 2012-20 Miscellaneous memory safety hazards (rv:12.0/ rv:10.0.4)
Fuente: Hispasec una-al-día