Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
11/01/2016
Butlletins de seguretat de la Fundació Mozilla
La Fundació Mozilla ha publicat butlletins de seguretat per als seus productes Firefox i Thunderbird, que corregeixen diverses vulnerabilitats, algunes d’elles crítiques.Per a Thunderbird s’han publicat 5 butlletins, que corregeixen sengles vulnerabilitats. Dues d’elles estan categoritzades com a crítiques (MFSA2015-134 i MFSA2015-149), mentre que la resta tenen criticitat alta (MFSA2015-139, MFSA2015-145 i MFSA2015-146). Les vulnerabilitats crítiques són un mètode que permetria violar les polítiques d'un mateix origen, habilitant l’atacant a llegir URL d’altres llocs i fitxers locals, i diversos problemes de validació de memòria que podrien causar el tancament de l’aplicació. Les vulnerabilitats de criticitat alta són problemes de desbordament de buffer en diverses parts de l’aplicació.
Per a Firefox s’han publicat un total de 17 butlletins, sent 4 d’ells crítics (MFSA2015-134, MFSA2015-138, MFSA2015-148 i MFSA2015-149), 7 amb criticitat alta (MFSA2015-135, MFSA2015-136, MFSA2015-139, MFSA2015-140, MFSA2015-145, MFSA2015-146 i MFSA2015-147), 4 més amb criticitat moderada (MFSA2015-137, MFSA2015-143, MFSA2015-144 i MFSA2015-150), i la resta lleus.
Les vulnerabilitats crítiques detectades per a Firefox són, a més de les ja mencionades en Thunderbird, un problema d’escalat de privilegis en les API del component WebExtension i un problema d’ús rere alliberament en el component WebRTC.
També destaca el butlletí MFSA2015-150 que va ser publicat més tard i soluciona una vulnerabilitat crida SLOTH i que permet, per mitjà de l’ús de MD5 en connexions TLS1.2, reduir la complexitat de manera que siga computacionalment factible atacar i desxifrar les comunicacions xifrades.
Sistemes Afectats:Mozilla versions anteriors a 43.0.2
Thunderbird versions anteriors a 38.5
Referències:CVE-2015-7201, CVE-2015-7202, CVE-2015-7203, CVE-2015-7204, CVE-2015-7205, CVE-2015-7207, CVE-2015-7208, CVE-2015-7210, CVE-2015-7211, CVE-2015-7212, CVE-2015-7213, CVE-2015-7214, CVE-2015-7215, CVE-2015-7216, CVE-2015-7217, CVE-2015-7218, CVE-2015-7219, CVE-2015-7220, CVE-2015-7221, CVE-2015-7222, CVE-2015-7223, CVE-2015-7575
Solució:Actualitzar a les últimes versions de Firefox i Thunderbird a través dels actualitzadors inclosos en la pròpia aplicació, o descarregar les versions actualitzades des de les pàgines oficials de descàrrega de Firefox i Thunderbird.
Notes:Mozilla Security Advisories for Thunderbird
Mozilla Security Advisories for Firefox