Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Mozilla cierra 6 huecos de seguridad en Firefox
El lanzamiento de Mozilla Firefox 17 cierra seis vulnerabilidades críticas en las versiones anteriores del navegador. En total, 16 boletines fueron emitidos, divididos en seis de impacto crítico, nueve de impacto alto y uno de impacto moderado. Muchos de los errores también afectan a Firefox ESR, Thunderbird y SeaMonkey.
Los problemas críticos incluidos en los boletines MSFA2012-106 y MSFA2012-105, los cuales cubrieron una serie de problemas de corrupción de memoria encontrados utilizando AddressSanitizer y que estaban presentes en Firefox 16, Firefox ESR 10.0.10, Thunderbird 17, Thunderbird ESR 10.0.10, SeaMonky2.14 y en sus versiones anteriores.
Se encontraron otras fallas existentes en todo el software de Mozilla registradas en MSFA2012-92, un desbordamiento de la memoria mientras genera imagenes en formato GIF, también encontrado con AddressSanitizer y en MSFA2012-91 se encontraron varios errores de seguridad de corrupción de memoria.
El tema de MSFA2012-94 fue la interrumpción del funcionamiento de Firefox 16, Thunderbird 16, SeaMonkey 2.13 y sus respectivas versiones anteriores, también potencialmente explotables, esto pudo haber sido activado al combinar texto SVG en una ruta y al establecer propiedades de CSS.
Por último, lo descrito en MSFA2012-104 solo afecta a Firefox 16, Firefox ESR 10.0.10 y versiones anteriores. En este caso, el Style Inspector resultó ser vulnerable; una hoja de estilo puede ser creada con fines maliciosos y al ser inspeccionado, podía correr HTML y CSS en un contexto de adminitrador permitiendo la ejecución de código arbitrario.
Los problemas moderados incluyen vulnerabilidades de cross-site scripting (XSS), la posibilidad de introducir scripts dentro de la "Barra de Herramientas del Desarrollador" y hacer que se ejecuten con privilegios; decodificación de caracteres indebidos, filtrado defectuoso de seguridad en el ataque de origen cruzado (cross-origin) con wrappers, exposición de propiedades de chrome, corrupción de memoria y errores de sandboxing (prevención el acceso directo a recursos del sistema).
Una falla moderada fue encontrada en el instalador de Firefox, se encontró vulnerable a secuestro de un archivo Windows DLL, cuando un archivo DLL específicamente creado fuese colocado en el directorio predeterminado de descargas junto con el instalador de Firefox.
Para todas las fallas el remedio es el mismo; actualizar a la última versión de Firefox (17), Firefox ESR (10.0.11), Thunderbird ESR (10.0.11) o SeaMonkey (2.14). Las actualizaciones deberán ser instaladas automáticamente por las aplicaciones, pero pueden ser inducidas para descargarse al desplegar el diálogo "Acerca de". También es, por supuesto, posible descargar Firefox, Thunderbird o SeaMonkey de las páginas de descarga de Mozilla.
