CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

30/09/2011

La fundación Mozilla publica diez boletines de seguridad para sus productos

Se han publicado múltiples boletines de seguridad por parte de la fundación Mozilla, en referéncia a las vulnerabilidades encontrados en diferentes productos de su firma.

Riesgo: Crítico

La fundación Mozilla es una organización sin ánimo de lucro dedicada a la creación de software libre. Sus pilares fundamentales son: el código abierto, el respeto por los estándares establecidos y en desarrollo y la portabilidad o posibilidad de interacción del software en múltiples plataformas.

Según la propia clasificación de la fundación Mozilla, siete de los boletines han sido clasificados con un impacto crítico, uno de ellos con un impacto alto y dos con un impacto moderado.

Los boletines críticos son:

Los boletines clasificados con un impacto alto son:

Y finalmente los boletines clasificados con un impacto moderado son:

Cabe destacar que las vulnerabilidades clasificadas con un impacto crítico permitirían a un atacante ejecutar código e instalar software sin requerir la interacción con el usuario.

Los productos afectados han sido principalmente su navegador web Firefox y el cliente de correo electrónico Thunderbird. 

 

Sistemas Afectados:

El navegador web Firefox y el cliente de correo electrónico Thunderbird.

Referencias:

None

Solución:

Se recomienda la actualización a la última versión de dichos productos.

Notas:

MFSA 2011-36 Miscellaneous memory safety hazards (rv:7.0 / rv:1.9.2.23)
http://www.mozilla.org/security/announce/2011/mfsa2011-36.html

MFSA 2011-37 Integer underflow when using JavaScript RegExp
http://www.mozilla.org/security/announce/2011/mfsa2011-37.html

MFSA 2011-38 XSS via plugins and shadowed window.location object
http://www.mozilla.org/security/announce/2011/mfsa2011-38.html

MFSA 2011-39 Defense against multiple Location headers due to CRLF Injection
http://www.mozilla.org/security/announce/2011/mfsa2011-39.html

MFSA 2011-40 Code installation through holding down Enter
http://www.mozilla.org/security/announce/2011/mfsa2011-40.html

MFSA 2011-41 Potentially exploitable WebGL crashes
http://www.mozilla.org/security/announce/2011/mfsa2011-41.html

MFSA 2011-42 Potentially exploitable crash in the YARR regular expression library
http://www.mozilla.org/security/announce/2011/mfsa2011-42.html

MFSA 2011-43 loadSubScript unwraps XPCNativeWrapper scope parameter
http://www.mozilla.org/security/announce/2011/mfsa2011-43.html

MFSA 2011-44 Use after free reading OGG headers
http://www.mozilla.org/security/announce/2011/mfsa2011-44.html

MFSA 2011-45 Inferring Keystrokes from motion data
http://www.mozilla.org/security/announce/2011/mfsa2011-45.html

Fuente: Hispasec una-al-día

CSIRT-CV