Boletines de seguridad para FIREFOX de Mozilla

La Fundación Mozilla ha publicado 13 boletines de seguridad que corrigen
vulnerabilidades que afectan a su navegador web Firefox, al gestor de
correo Thunderbird y la suite SeaMonkey. Las alertas se componen de
cuatro boletines críticos, siete altos, uno moderado y uno leve.

A continuación se detallan los boletines agrupados por su nivel de
importancia:

* Nivel Crítico: cuatro boletines con 5 vulnerabilidades que podrían ser
aprovechadas por un atacante remoto para ejecutar código arbitrario y
realizar ataques cross-site scripting (XSS):

MFSA 2013-63: múltiples errores de seguridad relacionados con la memoria
(CVE-2013-1701 y CVE-2013-1702).

MFSA 2013-64 y MFSA 2013-65: errores provocados al intentar acceder a
objetos en memoria ya liberados que generarían desbordamientos de
memoria intermedia basada en HEAP (CVE-2013-1704 y CVE-2013-1705).

MFSA 2013-69: un error al generar una solicitud CRMF (Certificate
Request Message Format) bajo determinadas circunstancias podría permitir
la ejecución de código arbitrario y ataques XSS (CVE-2013-1710).

* Nivel Alto: siete boletines con ocho vulnerabilidades que podrían ser
aprovechadas por un atacante remoto para ejecutar código arbitrario,
elevar privilegios, eludir restricciones de seguridad, revelar
información sensible y realizar ataques cross-site scripting (XSS):

MFSA 2013-66: dos errores de manejo de rutas largas en Maintenance
Service (maintenanceservice.exe) y Mozilla Updater (updater.exe) podrían
causar desbordamientos de memoria y permitir la ejecución de código
remoto con privilegios de administrador (CVE-2013-1706 y CVE-2013-1707).

MFSA 2013-68: un error en la interacción entre los elementos de marco
(frames) y el historial del navegador podría conducir a la realización
de ataques XSS (CVE-2013-1709).

MFSA 2013-71: múltiples errores de rutas inseguras de búsqueda de
elementos durante la actualización (updater.exe) podrían permitir la
elevación de privilegios (permisos de administrador) mediante una DLL
colocada en el directorio de descarga del actualizador o en el
directorio actual de trabajo (CVE-2013-1712).

MFSA 2013-72: error en algunos componentes Javascript al realizar
comprobaciones con un URI incorrecto que podría ser utilizado para
eludir las políticas ‘Same Origin Policy’ y realizar ataques XSS e
incluso instalar complementos (add-ons) arbitrarios (CVE-2013-1713).

MFSA 2013-73: un error en la implementación de ‘Web Workers’ podría
permitir eludir las políticas ‘Same Origin Policy’ y realizar ataques
XSS (CVE-2013-1714).

MFSA 2013-74: múltiples fallos de rutas inseguras de búsqueda de
elementos durante la instalación podrían permitir la elevación de
privilegios (permisos de administrador) mediante una DLL colocada en el
directorio de descarga del instalador (CVE-2013-1715). Esta
vulnerabilidad es debida a una incompleta corrección del CVE-2012-4206.

MFSA 2013-75: un error al no restringir correctamente el acceso al
sistema de ficheros local para los applets de Java podría permitir
eludir restricciones de seguridad y obtener acceso de lectura a ficheros
arbitrarios del sistema afectado (CVE-2013-1717).

* Nivel Moderado:

MFSA 2013-70: un error en la implementación de ‘XrayWrapper’ al no
contemplar la posibilidad de evitar el ámbito XBL podría conducir a
ataques de cross-site scripting (CVE-2013-1711).

* Nivel Bajo:

MFSA 2013-67: un fallo al decodificar ficheros de audio WAV podría ser
utilizado para provocar una denegación de servicio (CVE-2013-1708).

Las versiones de los productos de Mozilla que solucionan todas las
vulnerabilidades anteriormente expuestas son las siguientes: Firefox
23.0, Firefox ESR 17.0.8, Thunderbird 17.0.8, Thunderbird ESR 17.0.8 y
Seamonkey 2.20. Se encuentran disponibles para su descarga a través de
los canales habituales o mediante las actualizaciones automáticas.
Fuente