Avisos 11 de October, 2012

Actualització i vulnerabilitat a Firefox 16

 

La Fundació Mozilla ha publicat actualitzacions pels seus productes Firefox i Thunderbird que solucionen diverses vulnerabilitats, alguns d'elles crítiques. L'endemà de la seva publicació, s'ha retirat la nova versió després de ser descoberta una vulnerabilitat de revelació d'informació.

 

Impacte
 
Execució remota de codi, fuita d'informació i salt de restriccions de seguretat.
 
Productes afectats
 
Mozilla Firefox 15.0.1 i versions anteriors.
Mozilla Thunderbird 15.0.1 i versions anteriors.
Mozilla SeaMonkey 2.12 i versions anteriors.
Mozilla Firefox 16 (vulnerabilitat de fuita d'informació)
 
Solució
 
Actualitzar a la nova versió pública dels productes afectats.
Les actualitzacions públiques s'apliquen automàticament amb la configuració per defecte de les aplicacions afectades. També poden ser executades manualment a través del diàleg "Quant a..." del menú Ajuda, o descarregant i executant la darrera versió de l'instal•lador a la pàgina oficial de Mozilla.
Tot i que l'última versió conté una vulnerabilitat de fuga d'informació, no es recomana tornar a la versió anterior, perquè aquesta conté diverses vulnerabilitats d'una criticitat major. Tanmateix, no es té constància que cap d'elles s'estigui explotant activament.
El fabricant ha publicat una actualització (16.0.1) per a la seva versió en dispositius mòbils Android, i s'espera que en breu es publiqui la nova versió per a sistemes d'escriptori.
 
Detall
 
Impacte crític:
MFSA 2012-87: vulnerabilitat de ús després de l'alliberament al IME State Manager.
MFSA 2012-86: corrupció de memòria.
MFSA 2012-85: problemes de desbordament de memòria intermèdia, ús després de l'alliberament i lectures fora de límits.
MFSA 2012-83: Chrome Object Wrapper (COW) no impedeix l'accés a funcions i propietats privilegiades.
MFSA 2012-81: la funció GetProperty pot evitar les comprovacions de seguretat.
MFSA 2012-80: tancament inesperat amb canvi de tipus invàlid en l'ús del operador instanceof.
MFSA 2012-79: denegació de servei i tancament inesperat en la navegació de l'historial amb el mode de pantalla completa.
MFSA 2012-78: les pàgines amb el mode de lectura (Reader Mode) tenen privilegis d'accés al motor de dibuix (chrome)
MFSA 2012-77: alguns mètodes de tipus DOMWindowUtils poden saltar les restriccions de seguretat.
MFSA 2012-75: la persistència de l'element select permet atacs.
MFSA 2012-74: altres problemes de seguretat de memòria.
Impacte alt:
MFSA 2012-84: falsificació i injecció de seqüències de comandes mitjançant location.hash.
MFSA 2012-82: l'object superior i la propietat de localització són accessibles pels connectors (plugins).
MFSA 2012-76: accés continuat a l'origen inicial després d'establir la propietat document.domain.
 
Referències
 
Avisos de seguretat per productes Mozilla
http://www.mozilla.org/security/known-vulnerabilities/
Informació sobre la vulnerabilitat de fuita d'informació a Firefox 16 al bloc de Mozilla.
https://blog.mozilla.org/security/2012/10/10/security-vulnerability-in-firefox-16/
 
Publicat a: Avisos