Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
01/04/2015
Els butlletins de seguretat s’han estimat a esmenar vulnerabilitats de seguretat de Firefox i la suite de correu electrònic Thunderbird. Entre les millores destacables relacionades amb seguretat incloses en esta nova versió destaca la implementació de controls contra la suplantació d’identitat de llocs web per mitjà de l’ús de OneCRL, generació de reports d’errors de SSL i la retirada definitiva de versions insegures d’OpenSSL.
Dels13 butlletins publicats, quatre s’han classificat com a crítics, dos com importants, cinc com moderats i dos com lleus. Es detallen els crítics a continuació:
MFSA 2015-39 (CVE-2015-0803 i CVE-2015-0804) (crític): ús de memòria fraudulent després del seu alliberament. S’han identificat distints problemes de confusió de tipus en les funcions AfterSetAttr i BindToTree.
MFSA 2015-31 (CVE-2015-0813) (Crític): ús de memòria després de l’alliberament fent ús de fitxers MP3. El problema s’ha identificat durant l’ús del connector Fluendo per a GStreamer en Linux.
MFSA 2015-30 (CVE-2015-0814 i CVE-2015-0815) (crític): corrupció de memòria en el nucli del navegador. Es tracta de dos fallades en en la gestió de la memòria dels productes Mozilla que podrien desembocar en corrupció de memòria, així com una hipotètica execució de codi arbitrari.
MFSA 2015-38 (CVE-2015-0805 i CVE-2015-0806) (crític): problemes de corrupció de memòria durant l’execució de gràfics 2D. Els problemes es produïxen durant el renderització de gràfics 2D, i és potencialment explotable segons Mozilla.
Es veuen afectades les versions de programari següents:
Mozilla Firefox 36 i inferiors
Mozilla Thunderbird 31.5 i inferiors
Referències:
CVE-2015-0802, CVE-2015-0800, CVE-2012-2808, CVE-2015-0801, CVE-2015-0803, CVE-2015-0804, CVE-2015-0805, CVE-2015-0806, CVE-2015-0807, CVE-2015-0808, CVE-2015-0810, CVE-2015-0811, CVE-2015-0816, CVE-2015-0812, CVE-2015-0813, CVE-2015-0814, CVE-2015-0815
Solució:Actualitzar el programari afectat a les versions següents:
Mozilla Firefox 37
Mozilla Thunderbird 31.6
Artícle original Hispasec:
unaaldia.hispasec.com/2015/03/mozilla-publica-firefox-37-y-corrige-17.html
Firefox Notes (Version 37.0):
https://www.mozilla.org/en-US/firefox/37.0/releasenotes/
Mozilla Foundation Security Advisories:
https://www.mozilla.org/en-US/security/advisories/