La Fundación Mozilla ha publicado 15 boletines de seguridad (del MFSA2010-49 al MFSA2010-63) para solucionar diversas vulnerabilidades en productos Mozilla (Firefox, Thunderbird y SeaMonkey). Según la propia clasificación de Mozilla diez de los boletines presentan un nivel de gravedad «crítico», dos son de carácter «alto», otro es «moderado» y dos últimos considerados como «bajos».
Los boletines publicados son:
* MFSA 2010-63: Boletín de gravedad baja, en el que se trata una fuga de información a través de statusText en XMLHttpRequest.
* MFSA 2010-62: Este boletín moderado, trata una vulnerabilidad de cross site scripting al copiar y pegar o arrastrar y soltar en un documento designMode.
* MFSA 2010-61: Boletín de gravedad alto. Salto de los filtros XSS al inyectar JavaScript codificado UTF-7 mediante el uso de etiquetas
* MFSA 2010-60: Boletín de carácter alto, relacionado con un cross site scripting en el uso de SJOW. Sólo afecta a Firefox 3.5.12 y Thunderbird 3.0.7.
* MFSA 2010-59: Boletín de carácter crítico, relacionado con que SJOW crea cadenas que terminan en un objeto externo.
* MFSA 2010-58: Boletín de carácter crítico. Fuentes especialmente construidas pueden aplicarse a un documento y provocar la caída (con posibilidad de ejecución de código arbitrario) en sistemas Mac.
* MFSA 2010-57: Boletín crítico. Ejecución remota de código en normalizeDocument.
* MFSA 2010-56: Boletín de gravedad crítica, por una vulnerabilidad por puntero que no apunta a un objeto válido del tipo adecuado en nsTreeContentView.
* MFSA 2010-55: Este boletín es de gravedad baja (aunque crítico en Gecko 1.9.1 y anteriores). El borrado del árbol XUL puede provocar la caída de la aplicación, y en función de la versión podría permitir la ejecución de código remoto.
* MFSA 2010-54: Boletín de gravedad crítica, por una vulnerabilidad por puntero que no apunta a un objeto válido del tipo adecuado en nsTreeSelection.
* MFSA 2010-53: Boletín de carácter critico por un desbordamiento de búfer en nsTextFrameUtils::TransformText.
* MFSA 2010-52: Vulnerabilidad considerada crítica en la carga de dll en Windows XP.
* MFSA 2010-51: Boletín de gravedad crítica, por una vulnerabilidad por puntero que no apunta a un objeto válido del tipo adecuado en el uso del plugin de array DOM.
* MFSA 2010-50: Boletín considerado como crítico, trata de un desbordamiento de entero en el Frameset.
* MFSA 2010-49: Boletín de carácter crítico, trata de diversos problemas relacionados con el uso de la memoria del motor del navegador.
Se han publicado las versiones 3.6.9 y 3.5.12 del navegador Firefox, las versiones 3.1.3 y 3.0.7 de Thunderbird y la 2.0.7 de SeaMonkey; que corrigen todas estas vulnerabilidades, disponibles desde:
http://www.mozilla-europe.org/es/firefox/
http://www.mozillamessaging.com/es-ES/thunderbird/
http://www.seamonkey-project.org/
Más información:
MFSA 2010-63 Information leak via XMLHttpRequest statusText
http://www.mozilla.org/security/announce/2010/mfsa2010-63.html
MFSA 2010-62 Copy-and-paste or drag-and-drop into designMode document allows XSS
http://www.mozilla.org/security/announce/2010/mfsa2010-62.html
MFSA 2010-61 UTF-7 XSS by overriding document charset using type attribute
http://www.mozilla.org/security/announce/2010/mfsa2010-61.html
MFSA 2010-60 XSS using SJOW scripted function
http://www.mozilla.org/security/announce/2010/mfsa2010-60.html
MFSA 2010-59 SJOW creates scope chains ending in outer object
http://www.mozilla.org/security/announce/2010/mfsa2010-59.html
MFSA 2010-58 Crash on Mac using fuzzed font in data: URL
http://www.mozilla.org/security/announce/2010/mfsa2010-58.html
MFSA 2010-57 Crash and remote code execution in normalizeDocument
http://www.mozilla.org/security/announce/2010/mfsa2010-57.html
MFSA 2010-56 Dangling pointer vulnerability in nsTreeContentView
http://www.mozilla.org/security/announce/2010/mfsa2010-56.html
MFSA 2010-55 XUL tree removal crash and remote code execution
http://www.mozilla.org/security/announce/2010/mfsa2010-55.html
MFSA 2010-54 Dangling pointer vulnerability in nsTreeSelection
http://www.mozilla.org/security/announce/2010/mfsa2010-54.html
MFSA 2010-53 Heap buffer overflow in nsTextFrameUtils::TransformText
http://www.mozilla.org/security/announce/2010/mfsa2010-53.html
MFSA 2010-52 Windows XP DLL loading vulnerability
http://www.mozilla.org/security/announce/2010/mfsa2010-52.html
MFSA 2010-51 Dangling pointer vulnerability using DOM plugin array
http://www.mozilla.org/security/announce/2010/mfsa2010-51.html
MFSA 2010-50 Frameset integer overflow vulnerability
http://www.mozilla.org/security/announce/2010/mfsa2010-50.html
MFSA 2010-49 Miscellaneous memory safety hazards (rv:1.9.2.9/ 1.9.1.12)
http://www.mozilla.org/security/announce/2010/mfsa2010-49.html
¿Te resultó interesante? Compártelo ...
