Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
30/09/2011
La fundació Mozilla publica deu butlletins de seguretat per als seus productes
S'han publicat múltiples butlletins de seguretat per part de la fundació Mozilla en referència a vulnerabilitats trobades en diferents productes de la firma.La fundació Mozilla és una organització sense ànim de lucre dedicada a la creació de programari lliure. Els seus pilars fonamentals són: el codi obert, el respecte pels estàndards establits i en desenrotllament i la portabilitat o possibilitat d'interacció del programari en múltiples plataformes.
Segons la mateixa classificació de la fundació Mozilla, set dels butlletins han sigut classificats amb un impacte crític, un d'ells amb un impacte alt i dos amb un impacte moderat.
Els butlletins crítics són:
- MFSA 2011-36: Tres problemes de corrupció de memòria.
- MFSA 2011-37: Desbordament de sencers en emprar expressions JavaScript RegExp (només afecta la branca 3.x).
- MFSA 2011-40: Dos problemes d'instal·lació de programari en pressionar la tecla "Intro".
- MFSA 2011-41: Dos fallades de potencial execució de codi a través de WebGL.
- MFSA 2011-42: Un problema de potencial execució de codi a través de la llibreria d'expressions regulars YARR.
- MFSA 2011-43: Elevació de privilegis a través de JSSubScriptLoader.
- MFSA 2011-44: Execució de codi a través de fitxers .ogg.
Els butlletins classificats amb un impacte alt són:
- MFSA 2011-38: XSS a través de connectors i objectes "window.location".
I finalment els butlletins classificats amb un impacte moderat són:
- MFSA 2011-39: Problemes de potencial injecció CRLF a través de capçaleres Location.
- MFSA 2011-45: Captura de pulsacions a través de "motion data".
Cal destacar que les vulnerabilitats classificades amb un impacte crític permetrien a un atacant executar codi i instal·lar programari sense requerir la interacció amb l'usuari.
Els productes afectats han sigut principalment el seu navegador web Firefox i el client de correu electrònic Thunderbird.
Sistemes Afectats:
El navegador web Firefox i el client de correu electrònic Thunderbird.
Referències:None
Solució:Es recomana l'actualització a l'última versió dels dits productes.
Notes:MFSA 2011-36 Miscellaneous memory safety hazards (rv:7.0 / rv:1.9.2.23)
http://www.mozilla.org/security/announce/2011/mfsa2011-36.html
MFSA 2011-37 Integer underflow when using JavaScript RegExp
http://www.mozilla.org/security/announce/2011/mfsa2011-37.html
MFSA 2011-38 XSS via plugins and shadowed window.location object
http://www.mozilla.org/security/announce/2011/mfsa2011-38.html
MFSA 2011-39 Defense against multiple Location headers due to CRLF Injection
http://www.mozilla.org/security/announce/2011/mfsa2011-39.html
MFSA 2011-40 Code installation through holding down Enter
http://www.mozilla.org/security/announce/2011/mfsa2011-40.html
MFSA 2011-41 Potentially exploitable WebGL crashes
http://www.mozilla.org/security/announce/2011/mfsa2011-41.html
MFSA 2011-42 Potentially exploitable crash in the YARR regular expression library
http://www.mozilla.org/security/announce/2011/mfsa2011-42.html
MFSA 2011-43 loadSubScript unwraps XPCNativeWrapper scope parameter
http://www.mozilla.org/security/announce/2011/mfsa2011-43.html
MFSA 2011-44 Use after free reading OGG headers
http://www.mozilla.org/security/announce/2011/mfsa2011-44.html
MFSA 2011-45 Inferring Keystrokes from motion data
http://www.mozilla.org/security/announce/2011/mfsa2011-45.html