La Fundación Mozilla publico 18 boletines de seguridad para corregir vulnerabilidades de su navegador Mozilla, del cliente de correo ThunderBird y de la suite SeaMonkey. Estas vulnerabilidades se encuentran divididas en las siguientes categorías según el criterio de mozilla:
- Critico: este tipo de vulnerabilidad puede ser utilizado para ejecutar código malicioso.
- Alto: puede recopilar información personal de la nevegacion del usuario en sitios web, también permite inyecciones de cogido.
- Moderado: estas vulnerabilidades a diferencia del modo alto necesitan que el usuario active ciertos parámetros de la configuración del navegador o el cliente de correo.
- Bajo: pueden ser utilizada para ataques de denegación de servicios o fuga de información.
En Hispasec se hace una mención en español sobre estos boletines de nivel critico (http://unaaldia.hispasec.com/2014/03/mozilla-publica-18-boletines-de.html ):
- MFSA 2014-29: Boletín destinado a solucionardos vulnerabilidades presentadas en el Pwn2Own que usadas de forma combinada (CVE-2014-1510 yCVE-2014-1511) podrían permitir a un atacante cargar una URL JavaScript que se ejecutaría con todos los privilegios del navegador, lo que podría permitir la ejecución de código arbitrario.
- MFSA 2014-30: También procedente del Pwn2Own, una vulnerabilidad al usar memoria liberada en TypeObject (CVE-2014-1512).
- MFSA 2014-31: Este boletín también soluciona una vulnerabilidad anunciada en el Pwn2Own que puede permitir la ejecución de código arbitrario debido a lecturas y escrituras fuera de límites en el montón JavaScript (CVE-2014-1513).
- MFSA 2014-32: Con este boletín boletín Mozilla termina de corregir los problemas presentados en el Pwn2Own, en esta ocasión se trata de una escritura fuera de los límites de memoria, que puede permitir la ejecución de código arbitrario (CVE-2014-1514).
- MFSA 2014-15: En este boletín se solucionan problemas de seguridad (englobados en los CVE CVE-2014-1493 y CVE-2014-1494) en el motor del navegador usado por Firefox y otros productos Mozilla.
Para información más detallada se recomienda visitar http://www.mozilla.org/security/announce/
0 comentarios:
Publicar un comentario