Mozilla publica actualizaciones para Firefox y Firefox ESR

Publicado el 14 febrero 2016 ¬ 21:53 pmh.mscComentarios desactivados en Mozilla publica actualizaciones para Firefox y Firefox ESR

La Fundación Mozilla ha publicado dos boletines de seguridad considerados críticos (MFSA 2016-13 y MFSA 2016-14) destinados a corregir una vulnerabilidad en el navegador Firefox y otras cinco en la versión ESR de soporte extendido.

El primer problema (CVE-2016-1949) reside en que workers de servicio interceptan respuestas a peticiones del plugin de red realizadas a través del navegador. Los plugins que toman decisiones de seguridad basándose en el contenido de las peticiones de red pueden ver esas decisiones alteradas si un worker de servicio falsifica las respuestas a las peticiones. Por ejemplo, un crossdomain.xml falsificado podría permitir a un sitio malicioso evitar la política de mismo origen mediante el plugin Flash.

Por otra parte, también se ha detectado que una “smart font” de Graphite, puede evitar la validación de los parámetros de instrucciones internas en la librería Graphite 2 mediante instrucciones CNTXT_ITEM. Esto podría permitir la ejecución de código arbitrario. Este problema (CVE-2016-1523) afecta a Graphite 2 versión 1.2.4, que se emplea en la rama Firefox ESR.

También se han corregido otras cuatro vulnerabilidades en el mismo motor detectadas por el equipo de Cisco Talos. Estos problemas resultaban en una lectura fuera de límites, un desbordamiento de búfer y dos denegaciones de servicio. Firefox ESR ha actualizado la librería afectada a la versión 1.3.5, la misma empleada por Firefox 44. (CVE-2016-1521 al CVE-2016-1523 y CVE-2016-1526)

Para corregir estas vulnerabilidades, se han publicado las versiones Firefox 44.0.2 y Firefox ESR 38.6.1, disponibles para su descarga a través de los canales habituales o mediante las actualizaciones automáticas.

Más información:

MFSA 2016-14 Vulnerabilities in Graphite 2
https://www.mozilla.org/en-US/security/advisories/mfsa2016-14/

MFSA 2016-13 Same-origin-policy violation using Service Workers with plugins
https://www.mozilla.org/en-US/security/advisories/mfsa2016-13/

Vulnerability Spotlight: Libgraphite Font Processing Vulnerabilities
http://blog.talosintel.com/2016/02/vulnerability-spotlight-libgraphite.html

 

Ver informacion original al respecto en Fuente:
http://unaaldia.hispasec.com/2016/02/mozilla-publica-actualizaciones-para.html

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias, Vulnerabilidades, , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies