La Fundación Mozilla ha publicado 11 boletines de seguridad (del MFSA2010-74 al MFSA2010-84) para solucionar 13 vulnerabilidades en productos Mozilla (Firefox, Thunderbird y SeaMonkey). Según la propia clasificación de Mozilla nueve de los boletines presentan un nivel de gravedad "crítico", uno es de carácter "alto" y un último considerado como "moderado".
Los boletines publicados son:
* MFSA 2010-74: Boletín crítico, que corrige tres problemas de seguridad de la memoria en el motor del navegador.
* MFSA 2010-75: Considerado crítico. Desbordamiento de búfer al pasar cadenas de gran tamaño a document.write.
* MFSA 2010-76: Boletín crítico, por una vulnerabilidad de escalada de privilegios con window.open y elementos <isindex>.
* MFSA 2010-77: Vulnerabilidad crítica de ejecución remota de código por el uso de etiquetas HTML dentro de árboles XUL.
* MFSA 2010-78: Se añade soporte OTS, una librería para la normalización de fuentes descargables.
* MFSA 2010-79: Vulnerabilidad crítica por un salto de la seguridad Java al cargar un script LiveConnect.
* MFSA 2010-80: Boletín crítico, por una vulnerabilidad de uso después de liberar con nsDOMAttribute MutationObserver.
* MFSA 2010-81: Boletín que corrige una vulnerabilidad crítica de desbordamiento de entero en el tratamiento de matrices JavaScript.
* MFSA 2010-82: Boletín de gravedad crítica, debido a que la anterior corección al problema CVE-2010-0179, podía ser evitada.
* MFSA 2010-83: Vulnerabilidad de gravedad alta por un error que podría permitir la falsificación de la barra de localización.
* MFSA 2010-84: Boletín de carácter moderado relacionado con un cross-site scripting en la codificación de caracteres x-mac-arabic, x-mac-farsi y x-mac-hebrew.
Se han publicado las versiones 3.6.13 y 3.5.16 del navegador Firefox, las versiones 3.1.7 y 3.0.11 de Thunderbird y la 2.0.11 de SeaMonkey; que corrigen todas estas vulnerabilidades, disponibles desde:
Navegador web Firefox | Más rápido, más seguro y personalizable | Mozilla Europe
Thunderbird - Recupera tu correo
The SeaMonkey® Project
Opina sobre esta noticia:
Hispasec - Seguridad Informática
Más Información:
MFSA 2010-84 XSS hazard in multiple character encodings
MFSA 2010-84: XSS hazard in multiple character encodings
MFSA 2010-83 Location bar SSL spoofing using network error page
MFSA 2010-83: Location bar SSL spoofing using network error page
MFSA 2010-82 Incomplete fix for CVE-2010-0179
MFSA 2010-82: Incomplete fix for CVE-2010-0179
MFSA 2010-81 Integer overflow vulnerability in NewIdArray
MFSA 2010-81: Integer overflow vulnerability in NewIdArray
MFSA 2010-80 Use-after-free error with nsDOMAttribute MutationObserver
MFSA 2010-80: Use-after-free error with nsDOMAttribute MutationObserver
MFSA 2010-79 Java security bypass from LiveConnect loaded via data: URL meta refresh
MFSA 2010-79: Java security bypass from LiveConnect loaded via data: URL meta refresh
MFSA 2010-78 Add support for OTS font sanitizer
MFSA 2010-78: Add support for OTS font sanitizer
MFSA 2010-77 Crash and remote code execution using HTML tags inside a XUL tree
MFSA 2010-77: Crash and remote code execution using HTML tags inside a XUL tree
MFSA 2010-76 Chrome privilege escalation with window.open and <isindex> element
MFSA 2010-76: Chrome privilege escalation with window.open and <isindex> element
MFSA 2010-75 Buffer overflow while line breaking after document.write with long string
MFSA 2010-75: Buffer overflow while line breaking after document.write with long string
MFSA 2010-74 Miscellaneous memory safety hazards (rv:1.9.2.13/ 1.9.1.16)
MFSA 2010-74: Miscellaneous memory safety hazards (rv:1.9.2.13/ 1.9.1.16)
Los boletines publicados son:
* MFSA 2010-74: Boletín crítico, que corrige tres problemas de seguridad de la memoria en el motor del navegador.
* MFSA 2010-75: Considerado crítico. Desbordamiento de búfer al pasar cadenas de gran tamaño a document.write.
* MFSA 2010-76: Boletín crítico, por una vulnerabilidad de escalada de privilegios con window.open y elementos <isindex>.
* MFSA 2010-77: Vulnerabilidad crítica de ejecución remota de código por el uso de etiquetas HTML dentro de árboles XUL.
* MFSA 2010-78: Se añade soporte OTS, una librería para la normalización de fuentes descargables.
* MFSA 2010-79: Vulnerabilidad crítica por un salto de la seguridad Java al cargar un script LiveConnect.
* MFSA 2010-80: Boletín crítico, por una vulnerabilidad de uso después de liberar con nsDOMAttribute MutationObserver.
* MFSA 2010-81: Boletín que corrige una vulnerabilidad crítica de desbordamiento de entero en el tratamiento de matrices JavaScript.
* MFSA 2010-82: Boletín de gravedad crítica, debido a que la anterior corección al problema CVE-2010-0179, podía ser evitada.
* MFSA 2010-83: Vulnerabilidad de gravedad alta por un error que podría permitir la falsificación de la barra de localización.
* MFSA 2010-84: Boletín de carácter moderado relacionado con un cross-site scripting en la codificación de caracteres x-mac-arabic, x-mac-farsi y x-mac-hebrew.
Se han publicado las versiones 3.6.13 y 3.5.16 del navegador Firefox, las versiones 3.1.7 y 3.0.11 de Thunderbird y la 2.0.11 de SeaMonkey; que corrigen todas estas vulnerabilidades, disponibles desde:
Navegador web Firefox | Más rápido, más seguro y personalizable | Mozilla Europe
Thunderbird - Recupera tu correo
The SeaMonkey® Project
Opina sobre esta noticia:
Hispasec - Seguridad Informática
Más Información:
MFSA 2010-84 XSS hazard in multiple character encodings
MFSA 2010-84: XSS hazard in multiple character encodings
MFSA 2010-83 Location bar SSL spoofing using network error page
MFSA 2010-83: Location bar SSL spoofing using network error page
MFSA 2010-82 Incomplete fix for CVE-2010-0179
MFSA 2010-82: Incomplete fix for CVE-2010-0179
MFSA 2010-81 Integer overflow vulnerability in NewIdArray
MFSA 2010-81: Integer overflow vulnerability in NewIdArray
MFSA 2010-80 Use-after-free error with nsDOMAttribute MutationObserver
MFSA 2010-80: Use-after-free error with nsDOMAttribute MutationObserver
MFSA 2010-79 Java security bypass from LiveConnect loaded via data: URL meta refresh
MFSA 2010-79: Java security bypass from LiveConnect loaded via data: URL meta refresh
MFSA 2010-78 Add support for OTS font sanitizer
MFSA 2010-78: Add support for OTS font sanitizer
MFSA 2010-77 Crash and remote code execution using HTML tags inside a XUL tree
MFSA 2010-77: Crash and remote code execution using HTML tags inside a XUL tree
MFSA 2010-76 Chrome privilege escalation with window.open and <isindex> element
MFSA 2010-76: Chrome privilege escalation with window.open and <isindex> element
MFSA 2010-75 Buffer overflow while line breaking after document.write with long string
MFSA 2010-75: Buffer overflow while line breaking after document.write with long string
MFSA 2010-74 Miscellaneous memory safety hazards (rv:1.9.2.13/ 1.9.1.16)
MFSA 2010-74: Miscellaneous memory safety hazards (rv:1.9.2.13/ 1.9.1.16)