Avisos 26 de April, 2012

Actualitzacions Firefox i Thunderbird 12

La Fundació Mozilla ha publicat actualitzacions pels seus productes Firefox i Thunderbird, que inclouen catorze butlletins de seguretat, alguns d'ells crítics.

Recursos afectats: Mozilla Firefox 11 i versions anteriors.
Mozilla Firefox ESR 10.0.3 i versions anteriors.
Mozilla Thunderbird 11 i versions anteriors.
Mozilla Thunderbird ESR 10.0.3 i versions anteriors.
Mozilla SeaMonkey 2.8 i versions anteriors.

Nota: les versions 3.x de Firefox i Thunderbird també estan afectades, però han arribat al final de cicle de suport.

Impacte:

Execució remota de codi, fuita d'informació, execució de comandes a llocs creuats i salt de restriccions de seguretat.


Solució:

Actualitzar a la nova versió pública dels productes afectats.
 
Les actualitzacions públiques s'apliquen automàticament amb la configuració per defecte de les aplicacions afectades. També poden ser executades manualment a través del diàleg "Quant a..." del menú Ajuda, o descarregant i executant la darrera versió de l'instal·lador a la pàgina oficial de Mozilla.
 
El 24 abril 2012 Mozilla ha donat per finalitzat el cicle de suport per a les versions 3.x de Firefox i Thunderbird. Això significa que no es publicaran més actualitzacions de seguretat per a aquestes branques.
 
És molt recomanable actualitzar a alguna de les noves versions. Aquesta actualització serà oferta a tots els usuaris de versions 3.x sense suport, que també poden realitzar descarregant el paquet d'instal·lació de la web del fabricant.
 
Per als organitzacions o usuaris que gestionen un gran nombre d'equips, Mozilla ofereix la versió "Extended Support Release" (ESR) per alleujar el treball de testeig i desplegament massiu. El cicle de suport d'aquestes versions s'estendrà durant un any aproximadament, amb actualitzacions de seguretat, però sense canvis de funcionalitat.


Detall:

Impacte crític:
 MFSA 2012-20: diversos problemes de protecció de memòria que podrien permetre execució remota de codi sota determinades circumstàncies.
 MFSA 2012-21: múltiples fallades de protecció de memòria a la llibreria FreeType.
 MFSA 2012-22: vulnerabilitat de corrupció de memòria en IDBKeyRange per ús després d'alliberament.
 MFSA 2012-23: desbordament de la memòria a la funció gfxImageSurface que permet l'alliberament invàlid de memòria i possiblement l'execució remota de codi.
 MFSA 2012-25: possible corrupció de memòria durant la representació de la font utilitzant cairo-dwrite.
 MFSA 2012-30: tancament inesperat provocat per contingut WebGL que utilitzi la funció textImage2D
 MFSA 2012-31: error de tipus "off-by-one" al sanejador de OpenType, utilitzat per l'eina "Sanejador d'Adreces", podria permetre execució remota de codi.
 
Impacte alt:
 MFSA 2012-24: possible execució de comandes a llocs creuats (XSS) mitjançant errors al tractament de contingut de tipus multi-byte.
 MFSA 2012-26: la funció WebGL.drawElements pot llegir regions il·legals de memòria de vídeo, a causa d'un error a la funció FindMaxUshortElement.
 MFSA 2012-27: curtcircuit a la càrrega de pàginas pot portar a l'execució de comandes a llocs creuats (XSS).
 MFSA 2012-33: possible falsificació de llocs web en carregar fonts de tipus RSS i Atom.
 
Impacte moderat:
 MFSA 2012-28: valors ambigües de tipus IPv6 a les capçaleres Origen, poden evitar restriccions d'accés a servidors web.
 MFSA 2012-29: possible execució de comandes a llocs creuats (XSS), mitjançant errors a la descodificació de contingut ISO-2022-KR/ISO-2022-CN.
 MFSA 2012-32: problema al tractament d'errors javascript, pot filtrar els noms dels fitxers i la localització d'arxius javascript a un servidor.
 
Vulnerabilitats individuals corregides:
 CVE-2011-1187
 CVE-2012-0467
 CVE-2012-0468
 CVE-2012-0469
 CVE-2012-0470
 CVE-2012-0471
 CVE-2012-0472
 CVE-2012-0473
 CVE-2012-0474
 CVE-2012-0475
 CVE-2012-0477
 CVE-2012-0478
 CVE-2012-0479
 CVE-2012-1126
 CVE-2012-1127
 CVE-2012-1128
 CVE-2012-1129
 CVE-2012-1130
 CVE-2012-1131
 CVE-2012-1132
 CVE-2012-1133
 CVE-2012-1134
 CVE-2012-1135
 CVE-2012-1136
 CVE-2012-1137
 CVE-2012-1138
 CVE-2012-1139
 CVE-2012-1140
 CVE-2012-1141
 CVE-2012-1142
 CVE-2012-1143
 CVE-2012-1144
 
Referències
 Avisos de seguretat per productes Mozilla
 http://www.mozilla.org/security/known-vulnerabilities/
 Avís MFSA 2012-20
 https://www.mozilla.org/security/announce/2012/mfsa2012-20.html
 Avís MFSA 2012-21
 https://www.mozilla.org/security/announce/2012/mfsa2012-21.html
 Avís MFSA 2012-22
 https://www.mozilla.org/security/announce/2012/mfsa2012-22.html
 Avís MFSA 2012-23
 https://www.mozilla.org/security/announce/2012/mfsa2012-23.html
 Avís MFSA 2012-24
 https://www.mozilla.org/security/announce/2012/mfsa2012-24.html
 Avís MFSA 2012-25
 https://www.mozilla.org/security/announce/2012/mfsa2012-25.html
 Avís MFSA 2012-26
 https://www.mozilla.org/security/announce/2012/mfsa2012-26.html
 Avís MFSA 2012-27
 https://www.mozilla.org/security/announce/2012/mfsa2012-27.html
 Avís MFSA 2012-28
 https://www.mozilla.org/security/announce/2012/mfsa2012-28.html
 Avís MFSA 2012-29
 https://www.mozilla.org/security/announce/2012/mfsa2012-29.html
 Avís MFSA 2012-30
 https://www.mozilla.org/security/announce/2012/mfsa2012-30.html
 Avís MFSA 2012-31
 https://www.mozilla.org/security/announce/2012/mfsa2012-31.html
 Avís MFSA 2012-32
 https://www.mozilla.org/security/announce/2012/mfsa2012-32.html
 Avís MFSA 2012-33
 https://www.mozilla.org/security/announce/2012/mfsa2012-33.html

Publicat a: Avisos