int(6475)

Boletines de Vulnerabilidades


Diversas vulnerabilidades en Firefox 16

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Integridad
Dificultad Experto
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema

Propiedad Valor
Fabricante afectado GNU/Linux
Software afectado Mozilla Firefox 15.0.1 y anteriores.
Mozilla Thunderbird 15.0.1 y anteriores.
Mozilla SeaMonkey 2.12 y anteriores.
Mozilla Firefox 16 en relación a la vulnerabilidad de fuga de información.

Descripción

Tras lanzar la versión Firefox 16, Mozilla ha publicado actualizaciones para los productos Firefox y Thunderbird que solucionan diversas vulnerabilidades detectadas. Estas vulnerabilidades pueden causar ejecución remota de código, fuga de información y saltos en las restricciones de seguridad.
Entre las vulnerabilidades publicadas, se han catalogado 11 como de impacto crítico y 3 como de impacto alto.
La vulnerabilidad relacionada con la fuga de información, permite que una web maliciosa pueda conocer qué webs ha visitado el usuario y con qué parámetros.

Solución

Mozilla ha retirado temporalmente la versión Firefox 16 de la página de descargas oficial, y los usuarios afectados serán actualizados automáticamente tan pronto Mozilla publique la versión que soluciona estas vulnerabilidades. Mientras, Mozilla recomienda volver a la versión 15.0.1, o esperar hasta que se publique la actualización que corrija las vulnerabilidades.

Identificadores estándar

Propiedad Valor
CVE MFSA 2012-87
MFSA 2012-86
MFSA 2012-85
MFSA 2012-83
MFSA 2012-81
MFSA 2012-80
MFSA 2012-79
MFSA 2012-78
MFSA 2012-77
MFSA 2012-75
MFSA 2012-74
MFSA 2012-84
MFSA 2012-82
MFSA 2012-76
BID

Recursos adicionales

Avisos de seguridad Mozilla:
http://www.mozilla.org/security/known-vulnerabilities/
Información sobre la vulnerabilidad de fuga de información en el blog de Mozilla:
https://blog.mozilla.org/security/2012/10/10/security-vulnerability-in-firefox-16/

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2012-10-15

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT