Avisos 16 de March, 2012

Actualitzacions Firefox i Thunderbird 11

La Fundació Mozilla ha publicat actualitzacions pels seus productes Firefox i Thunderbird, que solucionen dotze vulnerabilitats, alguns d'elles crítiques.

Recursos afectats:
Mozilla Firefox 10.0.2 i versions anteriors.
 Mozilla Firefox 3.6.27 i versions anteriors.
 Mozilla Thunderbird 10.0.2 i versions anteriors.
 Mozilla Thunderbird 3.1.19 i versions anteriors.
 Mozilla SeaMonkey 2.7.2 i versions anteriors.
 

Impacte:

Execució remota de codi, fuita d'informació i salt de restriccions de seguretat.


Solució:

Actualitzar a la nova versió pública dels productes afectats.
 
Les actualitzacions públiques s'apliquen automàticament amb la configuració per defecte de les aplicacions afectades. També poden ser executades manualment a través del diàleg "Quant a..." del menú Ajuda, o descarregant i executant la darrera versió de l'instal·lador a la pàgina oficial de Mozilla.


Detall:

Impacte crític:
 MFSA 2012-12: tancament inesperat, possiblement explotable, per la possibilitat d'ús de memòria després del seu alliberament, en crear-se a Windows 7 32-bits, una finestra filla que utilitza el diàleg de "Obrir arxiu".
 MFSA 2012-14: dues vulnerabilitats en el tractament de contingut de tipus SVG de l'eina "Address Sanitizer". La primera és un possible ús de memòria, després del seu alliberament que podria permetre l'execució remota de codi.
 MFSA 2012-16: un atacant podria executar codi Javascript dins d'un context privilegiat (about:sessionrestore), si convenç a un usuari per arrossegar un enllaç maliciós al botó de "pàgina d'inici".
 MFSA 2012-17: tancament inesperat, possiblement explotable, en accedir a la propietat cssText d'un "keyframe", després d'una modificació dinàmica.
 MFSA 2012-18: diversos problemes de protecció de memòria que podrien permetre execució remota de codi sota determinades circumstàncies.
 
Impacte moderat:
 MFSA 2012-13: hi ha una forma d'evitar la protecció contra la possibilitat d'arrossegar enllaços de tipus "javascript:" per la seva execució en un marc (frame). Això podria utilitzar-se per dur a terme atacs de tipus XSS.
 MFSA 2012-15: vulnerabilitat d'injecció CRLF que permet dur a terme atacs de tipus XSS, a llocs que tinguin vulnerabilitats d'injecció a les capçaleres.
 MFSA 2012-18: la propietat window.fullScreen del DOM pot ser modificada per contingut no fiable. Això podria aprofitar-se per enganyar l'usuari, mitjançant una falsificació de la interfície d'usuari.
 
Vulnerabilitats individuals corregides:
 CVE-2012-0451
 CVE-2012-0454
 CVE-2012-0455
 CVE-2012-0456
 CVE-2012-0457
 CVE-2012-0458
 CVE-2012-0459
 CVE-2012-0460
 CVE-2012-0461
 CVE-2012-0462
 CVE-2012-0463
 CVE-2012-0464
 
Referències

 Avisos de seguretat per productes Mozilla
 http://www.mozilla.org/security/known-vulnerabilities/
 Avís MFSA 2012-12
 https://www.mozilla.org/security/announce/2012/mfsa2012-12.html
 Avís MFSA 2012-13
 https://www.mozilla.org/security/announce/2012/mfsa2012-13.html
 Avís MFSA 2012-14
 https://www.mozilla.org/security/announce/2012/mfsa2012-14.html
 Avís MFSA 2012-15
 https://www.mozilla.org/security/announce/2012/mfsa2012-15.html
 Avís MFSA 2012-16
 https://www.mozilla.org/security/announce/2012/mfsa2012-16.html
 Avís MFSA 2012-17
 https://www.mozilla.org/security/announce/2012/mfsa2012-17.html
 Avís MFSA 2012-18
 https://www.mozilla.org/security/announce/2012/mfsa2012-18.html
 Avís MFSA 2012-19
 https://www.mozilla.org/security/announce/2012/mfsa2012-19.html
 

Publicat a: Avisos