Boletines de seguridad y nuevas funcionalidades para productos Mozilla

En total, han sido 14 boletines los publicados, que cubren 18
vulnerabilidades de importancias critica, alta y moderada. Además, en
Firefox se introduce por defecto el protocolo SSL en las búsquedas de
Google.

Además de las correcciones comentadas más abajo, una de las novedades
más importantes en esta nueva versión es la inclusión por defecto de SSL
en las búsquedas en Google, ya sea a través de la barra de direcciones,
la barra de búsqueda o el menú contextual. Esta mejora tiene un doble
objetivo: en primer lugar, cifrar las consultas de los usuarios de
Firefox al buscador para protegerlos en entornos donde se monitorice
el tráfico de red o se puedan censurar o modificar los resultados.

En segundo lugar, evita que los términos de la búsqueda se propaguen a
través del “referer”. Este campo de la cabecera HTTP almacena el sitio
web inmediatamente anterior que se ha visitado y se lo traspasa a la
nueva página que se visita. Google, al utilizarse SSL, elimina la parte
del referer que muestra los términos de la consulta, no quedando
registrados en los logs de acceso del sitio objetivo.

Por ejemplo, si buscásemos el termino “Hispasec” en
http://www.google.es/, en el referer quedaría algo como:

http://www.google.es/search?rlz=1C1PRFB_enES477ES477&aq=f&sugexp=chrome,mod%3D5&sourceid=chrome&ie=UTF-8&q=hispasec

Que muestra información relativa a la consulta (q=hispasec) y al
navegador (sourceid=chrome). Al pulsar sobre un enlace, toda esta
información podría quedar registrada en los logs del sitio que
visitemos. Sin embargo, si usamos SSL a través de
https://www.google.es/, lo que viajaría en el referer sería,
simplemente:

https://www.google.es/

Eliminando esta información y mejorando la privacidad… excepto para
los anuncios patrocinados de Google. En ese caso, la información del
referer sí sería enviada. Google justifica este comportamiento apelando
a la necesidad de los anunciantes de conocer los movimientos de los
clientes potenciales y así afinar su público objetivo.

Google lleva tiempo implementando este sistema en Chrome, al que ahora
se le une Firefox. Mozilla espera que otros motores de búsqueda den
soporte a esta funcionalidad en el futuro.

Además, se ha introducido un cambio en la forma en la que se muestra la
información de cifrado del sitio, haciéndola más simple e impidiendo que
se produzca la suplantación de sitios legítimos usando su favicon. Ahora
el favicon sólo puede tomar tres iconos, correspondientes a sitios sin
cifrado, con cifrado SSL y con Certificado de Validación extendida.

Respecto a las vulnerabilidades corregidas, han sido finalmente 14
boletines que afectan a Firefox, Thunderbird y SeaMonkey, y que pasamos
a comentar a continuación:

Cinco de importancia crítica

MFSA 2012-56: Una vulnerabilidad de ejecución de código remoto a través
de URLs con el formato javascript:.
MFSA 2012-52: Corrupción de memoria a través de conversiones de
JSDependentString::undepend a cadenas fijas.
MFSA 2012-49: Un salto de restricciones de seguridad de los SCSW.
MFSA 2012-44: Cuatro vulnerabilidades de corrupción de memoria a través
de varias funciones.
MFSA 2012-42: Otras dos corrupciones de memoria que afectan
principalmente a Firefox.

Cuatro de importancia alta

MFSA 2012-47: Cross-site scripting a través del protocolo feed, que
permite la ejecución de código javascript.
MFSA 2012-46: Ejecución de código debido a un XSS a través de URLS del
tipo data:.
MFSA 2012-45: Una vulnerabilidad que podría dar lugar a la suplantación
de URIs.
MFSA 2012-53: Una vulnerabilidad que podría permitir el robo de
credenciales OpenID y tokens OAuth a través de Content Security Policy
(CSP).

Cinco de importancia moderada.

MFSA 2012-55: Un ataque XSS a través del protocolo feed:.
MFSA 2012-51: Secuestro de clicks a través de la cabecera
X-Frame-Options.
MFSA 2012-50: Revelación de información confidencial a través de las
librerías de administración de colores de Mozilla.
MFSA 2012-48: Ejecución de código arbitrario a través de
nsGlobalWindow::PageHidden.
MFSA 2012-43: Suplantación de sitios web a través del arrastre de URIs a
la barra de direcciones.

La solución a estas vulnerabilidades y las nuevas funcionalidades del
navegador se han introducido en las versiones Firefox 14, Firefox ESR
10.0.6,Thunderbird 14, Thunderbird ESR 10.0.6 y SeaMonkey 2.11, que
pueden descargarse ya desde el sitio oficial de Mozilla
http://www.mozilla.org.

Opina sobre esta noticia:
http://unaaldia.hispasec.com/2012/07/boletines-de-seguridad-y-nuevas.html#comments

Boletines de seguridad y nuevas funcionalidades para productos Mozilla
———————————————————————-

En total, han sido 14 boletines los publicados, que cubren 18
vulnerabilidades de importancias critica, alta y moderada. Además, en
Firefox se introduce por defecto el protocolo SSL en las búsquedas de
Google.

Además de las correcciones comentadas más abajo, una de las novedades
más importantes en esta nueva versión es la inclusión por defecto de SSL
en las búsquedas en Google, ya sea a través de la barra de direcciones,
la barra de búsqueda o el menú contextual. Esta mejora tiene un doble
objetivo: en primer lugar, cifrar las consultas de los usuarios de
Firefox al buscador para protegerlos en entornos donde se monitorice
el tráfico de red o se puedan censurar o modificar los resultados.

En segundo lugar, evita que los términos de la búsqueda se propaguen a
través del “referer”. Este campo de la cabecera HTTP almacena el sitio
web inmediatamente anterior que se ha visitado y se lo traspasa a la
nueva página que se visita. Google, al utilizarse SSL, elimina la parte
del referer que muestra los términos de la consulta, no quedando
registrados en los logs de acceso del sitio objetivo.

Por ejemplo, si buscásemos el termino “Hispasec” en
http://www.google.es/, en el referer quedaría algo como:

http://www.google.es/search?rlz=1C1PRFB_enES477ES477&aq=f&sugexp=chrome,mod%3D5&sourceid=chrome&ie=UTF-8&q=hispasec

Que muestra información relativa a la consulta (q=hispasec) y al
navegador (sourceid=chrome). Al pulsar sobre un enlace, toda esta
información podría quedar registrada en los logs del sitio que
visitemos. Sin embargo, si usamos SSL a través de
https://www.google.es/, lo que viajaría en el referer sería,
simplemente:

https://www.google.es/

Eliminando esta información y mejorando la privacidad… excepto para
los anuncios patrocinados de Google. En ese caso, la información del
referer sí sería enviada. Google justifica este comportamiento apelando
a la necesidad de los anunciantes de conocer los movimientos de los
clientes potenciales y así afinar su público objetivo.

Google lleva tiempo implementando este sistema en Chrome, al que ahora
se le une Firefox. Mozilla espera que otros motores de búsqueda den
soporte a esta funcionalidad en el futuro.

Además, se ha introducido un cambio en la forma en la que se muestra la
información de cifrado del sitio, haciéndola más simple e impidiendo que
se produzca la suplantación de sitios legítimos usando su favicon. Ahora
el favicon sólo puede tomar tres iconos, correspondientes a sitios sin
cifrado, con cifrado SSL y con Certificado de Validación extendida.

Respecto a las vulnerabilidades corregidas, han sido finalmente 14
boletines que afectan a Firefox, Thunderbird y SeaMonkey, y que pasamos
a comentar a continuación:

Cinco de importancia crítica

MFSA 2012-56: Una vulnerabilidad de ejecución de código remoto a través
de URLs con el formato javascript:.
MFSA 2012-52: Corrupción de memoria a través de conversiones de
JSDependentString::undepend a cadenas fijas.
MFSA 2012-49: Un salto de restricciones de seguridad de los SCSW.
MFSA 2012-44: Cuatro vulnerabilidades de corrupción de memoria a través
de varias funciones.
MFSA 2012-42: Otras dos corrupciones de memoria que afectan
principalmente a Firefox.

Cuatro de importancia alta

MFSA 2012-47: Cross-site scripting a través del protocolo feed, que
permite la ejecución de código javascript.
MFSA 2012-46: Ejecución de código debido a un XSS a través de URLS del
tipo data:.
MFSA 2012-45: Una vulnerabilidad que podría dar lugar a la suplantación
de URIs.
MFSA 2012-53: Una vulnerabilidad que podría permitir el robo de
credenciales OpenID y tokens OAuth a través de Content Security Policy
(CSP).

Cinco de importancia moderada.

MFSA 2012-55: Un ataque XSS a través del protocolo feed:.
MFSA 2012-51: Secuestro de clicks a través de la cabecera
X-Frame-Options.
MFSA 2012-50: Revelación de información confidencial a través de las
librerías de administración de colores de Mozilla.
MFSA 2012-48: Ejecución de código arbitrario a través de
nsGlobalWindow::PageHidden.
MFSA 2012-43: Suplantación de sitios web a través del arrastre de URIs a
la barra de direcciones.

La solución a estas vulnerabilidades y las nuevas funcionalidades del
navegador se han introducido en las versiones Firefox 14, Firefox ESR
10.0.6,Thunderbird 14, Thunderbird ESR 10.0.6 y SeaMonkey 2.11, que
pueden descargarse ya desde el sitio oficial de Mozilla
http://www.mozilla.org.
Fuente

 

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies