Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
04/04/2013
Mozilla publica 11 butlletins de seguretat per a Firefox
Mozilla ha publicat la versió 20 del seu navegador Firefox, que corregix 11 errors de seguretat descrits en 11 butlletins i implementa diverses millores per a la navegació privada i altres canvis estètics.La versió número 20 del popular navegador ha inclòs una nova funcionalitat que permet iniciar la navegació privada (que no emmagatzema dades en l’historial), amb la mateixa sessió que es té en la finestra normal. Fins ara, era necessari reiniciar tot el navegador per a poder navegar d’incògnit, però amb esta nova versió les pestanyes d’incògnit i les "normals" poden conviure en la mateixa sessió del navegador.
Un altre canvi significatiu és que la finestra de descàrregues habitual en els últims anys ha desaparegut, i es mostra ara en un discret desplegable a la dreta de la barra de navegació.
Quant a les vulnerabilitats corregides, tres butlletins (MFSA 2013-36, MFSA 2013-35 i MFSA 2013-30) tenen un impacte crític. El primer corregix un error relacionat amb la implementació de 'Same Origin Wrappers' i que podria permetre una execució de codi arbitrari amb els permisos de l’usuari. El segon és un error en la biblioteca 'WebGL' que implementa Firefox i que també podria permetre l’execució de codi arbitrari i el tercer conté tres vulnerabilitats relacionades amb el maneig de memòria.
Altres quatre butlletins (MFSA 2013-38, MFSA 2013-34, MFSA 2013-32, MFSA 2013-31) tenen un impacte alt. Un d’ells corregix un error en les funcions relacionades amb l’històric de JavaScript, que es podrien utilitzar per a realitzar una suplantació d’identitat a través d’un atac XSS. Altres dos corregixen una elevació de privilegis a través del sistema de 'Mozilla Updater' i 'Mozilla Maintenance Service' i l’últim resol una fallada en la biblioteca 'Cairo' amb què es podria executar codi arbitrari.
Els quatre butlletins restants (MFSA 2013-40, MFSA 2013-39, MFSA 2013-37, MFSA 2013-33) tenen un impacte mitjà. El primer es tracta d’una lectura fora de límits en un vector, el segon una corrupció de memòria a través del renderitzatge d’imatges PNG, el tercer permetria la revelació d’informació sensible (el vector d’atac de la qual està relacionat amb l’ús de pestanyes) i el quart permetria un accés no autoritzat (de lectura i escriptura) a la carpeta 'app_tmp' en dispositius Android.
Sistemes Afectats:Firefox
Referències:None
Solució:La nova versió està disponible a través del lloc oficial de descàrregues de Firefox: http://www.mozilla.org/es-ES/firefox/new/ D’altra banda, cal assenyalar que huit dels butlletins publicats (MFSA 2013-40, MFSA 2013-38, MFSA 2013-36, MFSA 2013-35, MFSA 2013-34, MFSA 2013-32, MFSA 2013-31 i MFSA 2013-30) també afecten Thunderbird i SeaMonkey, per la qual cosa s’han publicat les versions 17.0.5 i 2.17 d’ambdós productes.
Notes:Firefox Gives You More Control Over Your Privacy: https://blog.mozilla.org/blog/2013/04/02/firefox-gives-you-more-control-over-your-privacy/
Security Advisories for Firefox: https://www.mozilla.org/security/known-vulnerabilities/firefox.html