Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
09/08/2013
Butlletins de seguretat de Mozilla
La Fundació Mozilla ha publicat 13 butlletins de seguretat que corregixen vulnerabilitats que afecten el seu navegador web Firefox, el gestor de correu Thunderbird i el paquet ofimàtic (suite) SeaMonkey. Les alertes es componen de quatre butlletins crítics, set alts, un moderat i un de gravetat baixa.A continuació es detallen els butlletins agrupats pel seu nivell d’importància:
-
Nivell crític: quatre butlletins amb cinc vulnerabilitats que podrien ser aprofitades per un atacant remot per a executar codi arbitrari i realitzar atacs cross-site scripting (XSS):
MFSA 2013-63: múltiples errors de seguretat relacionats amb la memòria (CVE-2013-1701 i CVE-2013-1702).
MFSA 2013-64 i MFSA 2013-65: errors provocats en intentar accedir a objectes en memòria ja alliberats que generarien desbordaments de memòria intermèdia basada en HEAP (CVE-2013-1704 i CVE-2013-1705).
MFSA 2013-69: un error en generar una sol·licitud CRMF (Certificate Request Message Format) amb determinades circumstàncies podria permetre l’execució de codi arbitrari i atacs XSS (CVE-2013-1710).
-
Nivell alt: set butlletins amb huit vulnerabilitats que podrien ser aprofitades per un atacant remot per a executar codi arbitrari, elevar privilegis, eludir restriccions de seguretat, revelar informació sensible i realitzar atacs cross-site scripting (XSS):
MFSA 2013-66: dos errors de maneig de rutes llargues en Maintenance Service (maintenanceservice.exe) i Mozilla Updater (updater.exe) podrien causar desbordaments de memòria i permetre l’execució de codi remot amb privilegis d’administrador (CVE-2013-1706 i CVE-2013-1707).
MFSA 2013-68: un error en la interacció entre els elements de marc (frames) i l’historial del navegador podria conduir a la realització d’atacs XSS (CVE-2013-1709).
MFSA 2013-71: múltiples errors de rutes insegures de busca d’elements durant l’actualització (updater.exe) podrien permetre l’elevació de privilegis (permisos d’administrador) per mitjà d’una DLL col·locada en el directori de descàrrega de l’actualitzador o en el directori actual de treball (CVE-2013-1712).
MFSA 2013-72: error en alguns components Javascript en realitzar comprovacions amb un URI incorrecte que podria ser utilitzat per a eludir les polítiques Same Origin Policy i realitzar atacs XSS i inclús instal·lar complements (add-ons) arbitraris (CVE-2013-1713).
MFSA 2013-73: un error en la implementació de Web Workers podria permetre eludir les polítiques Same Origin Policy i realitzar atacs XSS (CVE-2013-1714).
MFSA 2013-74: múltiples fallades de rutes insegures de busca d’elements durant la instal·lació podrien permetre l’elevació de privilegis (permisos d’administrador) per mitjà d’una DLL col·locada en el directori de descàrrega de l’instal·lador (CVE-2013-1715). Esta vulnerabilitat és a causa d'una incompleta correcció del CVE-2012-4206.
MFSA 2013-75: un error per no restringir correctament l’accés al sistema de fitxers local per a les miniaplicacions (applets) de Java podria permetre eludir restriccions de seguretat i obtindre accés de lectura a fitxers arbitraris del sistema afectat (CVE-2013-1717).
-
Nivell moderat:
MFSA 2013-70: un error en la implementació de 'XrayWrapper' per no contemplar la possibilitat d’evitar l’àmbit XBL podria conduir a atacs de cross-site scripting (CVE-2013-1711).
-
Nivell baix:
MFSA 2013-67: una fallada en descodificar fitxers d’àudio WAV podria ser utilitzada per a provocar una denegació de servici (CVE-2013-1708).
Sistemes Afectats:Firefox
Referències:None
Solució:Les versions dels productes de Mozilla que solucionen totes les vulnerabilitats anteriorment exposades són les següents: Firefox 23.0, Firefox ESR 17.0.8, Thunderbird 17.0.8, Thunderbird ESR 17.0.8 i Seamonkey 2.20. Es troben disponibles per a la seua descàrrega a través dels canals habituals o per mitjà de les actualitzacions automàtiques.
Notes: