Mozilla corrige 17 vulnerabilidades en Firefox y Thunderbird
Mozilla Foundation ha publicado 14 boletines de seguridad pertenecientes
a la nuevas versiones de Mozilla Firefox 22.0 y Thunderbird 17.0.7, en
los que corrigen 14 vulnerabilidades. Se agrupan en cuatro boletines de
nivel crítico, seis clasificados como alto, tres moderados y uno de
nivel bajo.
A continuación resumimos los boletines publicados según su nivel de
importancia.
* De nivel Crítico, cuatro boletines con 7 vulnerabilidades que podrían
ser aprovechadas por un atacante remoto para ejecutar código arbitrario:
MFSA 2013-53: Existiría un error no especificado en el evento
‘onreadystatechange’ que podría generar un desbordamiento de memoria
(CVE-2013-1690).
MFSA 2013-51: Existe una falta de políticas de seguridad a la hora de
controlar las funciones de usuario definidas en los XBL, que permitirían
acceder a contenido protegido como los ‘System Only Wrappers’ (SOW)
(CVE-2013-1687).
MFSA 2013-50: Diferentes errores provocados al intentar acceder a
objetos en memoria ya liberados, lo que genera un desbordamiento de
memoria basado en HEAP (localizados gracias a la utilidad ‘Address
Sanitizer’). (CVE-2013-1684, CVE-2013-1685 y CVE-2013-1686).
MFSA 2013-49: Diferentes desbordamientos de memoria (CVE-2013-1682 y
CVE-2013-1683)
* De nivel Alto: Seis boletines con seis vulnerabilidades que podrían
ser aprovechadas por un atacante remoto para ejecutar código arbitrario
o elevación de privilegios.
MFSA 2013-62: Elevación de privilegios local a través del servicio
‘Mozilla Maintenance Service’ de Windows cuando no es accesible el
ejecutable principal (CVE-2013-1700).
MFSA 2013-59: Debido a un fallo en las políticas de seguridad de
‘XrayWrappers’, puede ser evadido para llamar a métodos fuera del
contexto de usuario (CVE-2013-1697).
MFSA 2013-56: Salto de restricciones a través de ‘PreserveWrapper’
(CVE-2013-1694).
MFSA 2013-55: Se podría utilizar el filtro SVG, para revelar información
mediante un ‘timing attack’ (CVE-2013-1693).
MFSA 2013-54: Incorrecta implementación de las especificaciones XHR, al
enviarse datos en el cuerpo durante una petición HEAD ‘XMLHttpRequest’
(CVE-2013-1692). Esto podría ser utilizado por un atacante remoto para
realizar un ataque cross-site request forgery (CSRF)
MFSA 2013-52: Ejecución de código a través de la interfaz de la función
‘Profiler’ (CVE-2013-1688)
* De nivel Moderado, en su mayoría saltos de restricciones:
MFSA 2013-61: Insuficiente política de seguridad en el algoritmo de
clasificación de dominios IDN (CVE-2013-1699). Esto podría ser utilizado
por un atacante remoto para suplantar dominios oficiales mediante
nombres de dominio homógrafos (IDN homograph attack).
MFSA 2013-60: Salto de restricciones a través de ‘getUserMedia’
(CVE-2013-1698) que permitiría tener acceso a dispositivos del sistema
como el micrófono o webcam.
MFSA 2013-58: Salto de restricciones a través de ‘X-Frame-Options’
durante transacciones de servidor multi-part (CVE-2013-1696) y
utilizable en ataques de tipo ‘clickjacking’.
* Y finalmente de nivel bajo:
MFSA 2013-57: Salto de restricciones a través de elementos de marco
contenidos en ‘iframe sandbox’ (CVE-2013-1695) Se recomienda actualizar
a las versiones disponibles a través de los canales habituales o
mediante las actualizaciones automáticas.
Fuente
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.