Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
09/04/2015
Mozilla publica actualitzacions fora de cicle per a Firefox
Mozilla ha publicat actualitzacions fora del seu cicle habitual per a Firefox, les actualitzacions comprenen dos butlletins de seguretat que resolen diverses vulnerabilitats.Les actualitzacions de seguretat comprenen actualitzacions per a dos vulnerabilitats, una criticitat crítica i una altra de criticitat alta:
-
MFSA 2015-44 (CVE-2015-0799) (crítica). Vulnerabilitat en HTTP Alternative Services, per mitjà de la qual es pot evadir la validació d’un certificat digital de servidor. Únicament és necessari introduir una capçalera Alt-Svc en la capçalera d’HTTP/2. Esta fallada podria permetre suplantar la identitat d’un servidor legítim i així realitzar atacs MiTM per a comprometre les comunicacions entre client i servidor.
-
MFSA 2015-43 (CVE-2015-0798) (alta). S’ha identificat una fallada en el mode lectura de Firefox per a Android. Segons pareix, URL privilegiades podrien passar al mode lectura i així evadir restriccions normals que s’apliquen a pàgines web a fi de protegir referències a contextos privilegiats. Esta vulnerabilitat amb una altra que poguera realitzar una violació de política podria desembocar en una execució de codi arbitrari.
Es troben afectades les versions següents:
- Mozilla Firefox 37.0 i inferiors
CVE-2015-0799, CVE-2015-0798
Solució:S’ha d’actualitzar Mozilla Firefox a la seua versió 37.0.1 o superior.
Notes:Més informació en l’article d’Hispasec:
http://unaaldia.hispasec.com/2015/04/mozilla-publica-actualizacion-para.html
Mozilla Foundation Security Advisory 2015-43 - Loading privileged content through Reader mode:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-43/
Mozilla Foundation Security Advisory 2015-44 - Certificate verification bypass through the HTTP/2 Alt-Svc header:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-44/