Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

01/04/2015

Publicat Firefox 37, esmena distintes vulnerabilitats crítiques

La fundació Mozilla ha anunciat la publicació del seu popular navegador web Firefox en la seua versió 37, el qual resol un total de 17 vulnerabilitats en 13 butlletins de seguretat.

Els butlletins de seguretat s’han estimat a esmenar vulnerabilitats de seguretat de Firefox i la suite de correu electrònic Thunderbird. Entre les millores destacables relacionades amb seguretat incloses en esta nova versió destaca la implementació de controls contra la suplantació d’identitat de llocs web per mitjà de l’ús de OneCRL, generació de reports d’errors de SSL i la retirada definitiva de versions insegures d’OpenSSL.

Dels13 butlletins publicats, quatre s’han classificat com a crítics, dos com importants, cinc com moderats i dos com lleus. Es detallen els crítics a continuació:

• MFSA 2015-39 (CVE-2015-0803 i CVE-2015-0804) (crític): ús de memòria fraudulent després del seu alliberament. S’han identificat distints problemes de confusió de tipus en les funcions AfterSetAttr i BindToTree.

• MFSA 2015-31 (CVE-2015-0813) (Crític): ús de memòria després de l’alliberament fent ús de fitxers MP3. El problema s’ha identificat durant l’ús del connector Fluendo per a GStreamer en Linux.

• MFSA 2015-30 (CVE-2015-0814 i CVE-2015-0815) (crític): corrupció de memòria en el nucli del navegador. Es tracta de dos fallades en en la gestió de la memòria dels productes Mozilla que podrien desembocar en corrupció de memòria, així com una hipotètica execució de codi arbitrari.

• MFSA 2015-38 (CVE-2015-0805 i CVE-2015-0806) (crític): problemes de corrupció de memòria durant l’execució de gràfics 2D. Els problemes es produïxen durant el renderització de gràfics 2D, i és potencialment explotable segons Mozilla.

Sistemes Afectats:

Es veuen afectades les versions de programari següents:

• Mozilla Firefox 36 i inferiors

• Mozilla Thunderbird 31.5 i inferiors

 

Referències:

CVE-2015-0802, CVE-2015-0800, CVE-2012-2808, CVE-2015-0801, CVE-2015-0803, CVE-2015-0804, CVE-2015-0805, CVE-2015-0806, CVE-2015-0807, CVE-2015-0808, CVE-2015-0810, CVE-2015-0811, CVE-2015-0816, CVE-2015-0812, CVE-2015-0813, CVE-2015-0814, CVE-2015-0815

Solució:

Actualitzar el programari afectat a les versions següents:

 

• Mozilla Firefox 37

• Mozilla Thunderbird 31.6

Notes:

Artícle original Hispasec:

unaaldia.hispasec.com/2015/03/mozilla-publica-firefox-37-y-corrige-17.html

Firefox Notes (Version 37.0):

https://www.mozilla.org/en-US/firefox/37.0/releasenotes/

Mozilla Foundation Security Advisories:

https://www.mozilla.org/en-US/security/advisories/

CSIRT-CV