int(6500)

Boletines de Vulnerabilidades


Actualización de seguridad de Firefox y Thunderbird

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Obtener acceso
Dificultad Avanzado
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema

Propiedad Valor
Fabricante afectado Exotic Software
Software afectado Mozilla Firefox anterior a 16.0.2
Mozilla Firefox ESR 10.x anterior a 10.0.10
Mozilla Thunderbird anterior a 16.0.2
Mozilla Thunderbird ESR 10.x anterior a 10.0.10
SeaMonkey anterior a 2.13.2

Descripción

Mozilla ha solucionado varias vulnerabilidades críticas descubiertas en sus productos Firefox, Thunderbird y SeaMonkey:

- CVE-2012-4194: Vulnerabilidad en el objeto window.location, que podría aprovechar un atacante remoto efectuar un ataque de tipo XSS (cross-site scripting).

- CVE-2012-4195: Vulnerabilidad en la función CheckURL en windows.location que podría permitir a un atacante efectuar ataques de tipo XSS (cross-site scripting) e incluso ejecutar código arbitrario.

- CVE-2012-4196: Vulnerabilidad en el objeto Location que permite saltarse sus protecciones de seguridad permitiendo así su lectura.

Solución

Actualizar Firefox y Thunderbird a la versión 16.0.2 (o ESR 10.0.10), y SeaMonkey a la versión 2.13.2.

Identificadores estándar

Propiedad Valor
CVE CVE-2012-4194
CVE-2012-4195
CVE-2012-4196
BID

Recursos adicionales

Mozilla Foundation Security Advisory 2012-90
https://www.mozilla.org/security/announce/2012/mfsa2012-90.html

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2012-10-30

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT