La fundació Mozilla publica 14 butlletins de seguretat per als seus productes
La Fundació Mozilla ha publicat 14 butlletins de seguretat (del MFSA 2012-20 al MFSA 2012-33) que solucionen 33 vulnerabilitats per a tots els seus productes (Firefox, Thunderbird i SeaMonkey).
Risc: Alt
Atenent el sistema de classificació de la mateixa fundació, set butlletins solucionen vulnerabilitats amb un impacte considerat com a “crític”, quatre són considerats “alt” i els altres tres són qualificats com a “moderats”.
Els butlletins crítics són:
- MFSA 2012-20: Dos vulnerabilitats de corrupció de memòria.
- MFSA 2012-21: 19 vulnerabilitats en FreeType v2.4.9.
- MFSA 2012-22: Ús després d’alliberar en IDBKeyRange.
- MFSA 2012-23: Execució remota de codi per una corrupció de memòria en monticle en gfxImageSurface.
- MFSA 2012-25: Corrupció de memòria en el tractament de fonts en usar cairo-dwrite.
- MFSA 2012-30: Problema en WebGL en usar textImage2D.
- MFSA 2012-31: Possible execució de codi a través d’OpenType Sanitizer.
Els butlletins classificats amb un impacte alt són:
- MFSA 2012-24: XSS enrocessar alguns jocs de caràcters multibyte.
- MFSA 2012-26: Lectura il·legal de memòria de vídeo a través de webgl.drawelements per un error en FindMaxUshortElement.
- MFSA 2012-27: XSS per un curtcircuit en carregar determinades pàgines.
I, finalment, els butlletins classificats amb un impacte moderat són:
- MFSA 2012-28: Salt de restriccions de control d’accés en determinades adreces IPv6.
- MFSA 2012-29: Potencial XSS a través de problemes de descodificació ISO-2022-KR/ISO-2022-CN.
- MFSA 2012-32: Lectura de redireccions http i contingut remot a través d’errors javascript.
Sistemes Afectats: Firefox, Thunderbird y SeaMonkey.
Referències: None
Solució:Tots estos problemes han sigut corregits en Firefox 12.0, Firefox ESR 10.0.4, Thunderbird 12.0, Thunderbird ESR 10.0.4 i SeaMonkey 2.9, disponibles des de:
Notes: MFSA 2012-33 Potential site identity spoofing when loading RSS and Atom feeds http://www.mozilla.org/security/announce/2012/mfsa2012-33.html
MFSA 2012-32 HTTP Redirections and remote content can be read by javascript errors
MFSA 2012-31 Off-by-one error in OpenType Sanitizer
MFSA 2012-30 Crash with WebGL content using textImage2D
MFSA 2012-29 Potential XSS through ISO-2022-KR/ISO-2022-CN decoding issues
MFSA 2012-28 Ambiguous IPv6 in Origin headers may bypass webserver access restrictions
MFSA 2012-27 Page load short-circuit can lead to XSS
MFSA 2012-26 WebGL.draw Elements may read illegal video memory due to FindMaxUshortElement error
MFSA 2012-25 Potential memory corruption during font rendering using cairo-dwrite
MFSA 2012-24 Potential XSS via multibyte content processing errors
MFSA 2012-23 Invalid frees causes heap corruption in gfxImageSurface
MFSA 2012-22 use-after-free in IDBKeyRange
MFSA 2012-21 Multiple security flaws fixed in FreeType v2.4.9
MFSA 2012-20 Miscellaneous memory safety hazards (rv:12.0/ rv:10.0.4)