Nuevas versiones de Firefox, Thunderbird y Seamonkey corrigen 17 vulnerabilidades
Mozilla Foundation ha publicado nuevas versiones de sus productos (24
para Firefox y Thunderbird, 2.12 para Seamonkey). En esta ocasión se
corrigen 19 fallos de seguridad agrupados en 17 boletines, 7 de los
cuales se consideran de importancia crítica. En esta versión se deja
de dar soporte a las Listas de Revocación de Certificados.
Entre los siete boletines calificados como de importancia crítica y los
cuatro de importancia alta se cubre un total de 13 vulnerabilidades.
Todas estas permiten la ejecución de código arbitrario de manera remota
como consecuencia de fallos de diversa naturaleza, y algunas permiten
además otros impactos.
El resto de boletines tratan vulnerabilidades de carácter moderado, que
permiten el acceso a información sensible del sistema, el salto de
restricciones de seguridad o la denegación de servicio. La gran mayoría
de estos boletines afecta a los tres sistemas actualizados, aunque
algunos no son aplicables a Thunderbird y Seamonkey.
Los boletines MFSA-2013-84 y MFSA-2013-87 en particular afectan
únicamente a la versión de Firefox para sistemas Android. El primero
trata un sistema para evadir la política del mismo origen en ficheros
locales, utilizando para ellos el protocolo file:// junto con enlaces
simbólicos para conseguir acceso a ficheros del sistema o realizar
ataques cross-site scripting (XSS). El segundo permitiría la ejecución
de código malicioso o el acceso a los datos del navegador al cargar una
librería compartida, pero para ello es necesario la instalación de
programas maliciosos y no se puede provocar a través de contenido web.
A partir de esta versión se elimina de la interfaz gráfica el acceso a
la gestión de las listas de revocación de certificados (CRL) en Firefox.
Esta funcionalidad seguirá siendo usada por el navegador, pero se delega
la gestión de las CRL a las librerías NSS, pudiéndose gestionar a través
de la herramienta crlutil. Esto forma parte de un movimiento de Mozilla
hacia un mecanismo que recoja la información de los certificados
revocados directamente de las CA intermedias.
https://bug867465.bugzilla.mozilla.org/attachment.cgi?id=757790
Fuente
Más información:
Mozilla Foundation Security Advisories
http://www.mozilla.org/security/announce/
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.