Actualización de seguridad para Firefox

Mozilla ha publicado una actualización de la librería Network Security
Services (NSS) empleada en algunos de sus proyectos con objeto de
corregir diversos problemas clasificados con diferentes niveles de
gravedad (desde leve a crítica).

La librería se actualiza a la versión NSS 3.15.3 con la excepción de las
versiones ESR17 en las que se actualiza a NSS 3.14.5. La librería NSS es
la encargada de añadir el soporte para SSL, S/MIME y otros estándares
de seguridad en Internet. NSS proporciona una implementación completa
open-source de las librerías criptográficas y se emplea por múltiples
productos y fabricantes como AOL, Red Hat o Sun.

El primero de los problemas corregidos reside en un desbordamiento
de búfer (con CVE-2013-5605) corregido en las dos nuevas versiones de
la librería NSS. Otro problema (con CVE-2013-5606) consiste en que
si se usa la característica verifylog cuando se validan certificados
no se rechazan los certificados con restricciones de uso de clave
incompatibles. Aunque este problema no afecta directamente a Firefox
podría afectar a otro software que haga uso de la librería afectada.

Otra vulnerabilidad corregida (CVE-2013-1741) se presenta en forma de
denegación de servicio en el tratamiento de certificados en sistemas
de 64 bits. Un problema de truncado de enteros en PL_ArenaAllocate
(CVE-2013-5607) y por último se ha bajado la prioridad del cifrado RC4
para que el servidor elija cifrados más seguros que el RC4
(CVE-2013-2566).

Se han publicado las versiones Firefox 25.0.1, Firefox ESR 24.1.1,
Firefox ESR 17.0.11 y Seamonkey 2.22.1 que incluyen la librería
actualizada, disponibles a través del sitio oficial de descargas de
Firefox: http://www.mozilla.org/es-ES/firefox/new/

Fuente