Boletines de seguridad de la Fundación Mozilla.La Fundación Mozilla ha publicado 15 boletines de seguridad (del MFSA2010-49 al MFSA2010-63) para solucionar diversas vulnerabilidades en productos Mozilla (Firefox, Thunderbird y SeaMonkey). Según la propia clasificación de Mozilla diez de los boletines presentan un nivel de gravedad "crítico", dos son de carácter "alto", otro es "moderado" y dos últimos considerados como "bajos". Los boletines publicados son: * MFSA 2010-63: Boletín de gravedad baja, en el que se trata una fuga de información a través de statusText en XMLHttpRequest. * MFSA 2010-62: Este boletín moderado, trata una vulnerabilidad de cross site scripting al copiar y pegar o arrastrar y soltar en un documento designMode. * MFSA 2010-61: Boletín de gravedad alto. Salto de los filtros XSS al inyectar JavaScript codificado UTF-7 mediante el uso de etiquetas <object> * MFSA 2010-60: Boletín de carácter alto, relacionado con un cross site scripting en el uso de SJOW. Sólo afecta a Firefox 3.5.12 y Thunderbird 3.0.7. * MFSA 2010-59: Boletín de carácter crítico, relacionado con que SJOW crea cadenas que terminan en un objeto externo. * MFSA 2010-58: Boletín de carácter crítico. Fuentes especialmente construidas pueden aplicarse a un documento y provocar la caída (con posibilidad de ejecución de código arbitrario) en sistemas Mac. * MFSA 2010-57: Boletín crítico. Ejecución remota de código en normalizeDocument. * MFSA 2010-56: Boletín de gravedad crítica, por una vulnerabilidad por puntero que no apunta a un objeto válido del tipo adecuado en nsTreeContentView. * MFSA 2010-55: Este boletín es de gravedad baja (aunque crítico en Gecko 1.9.1 y anteriores). El borrado del árbol XUL puede provocar la caída de la aplicación, y en función de la versión podría permitir la ejecución de código remoto. * MFSA 2010-54: Boletín de gravedad crítica, por una vulnerabilidad por puntero que no apunta a un objeto válido del tipo adecuado en nsTreeSelection. * MFSA 2010-53: Boletín de carácter critico por un desbordamiento de búfer en nsTextFrameUtils::TransformText. * MFSA 2010-52: Vulnerabilidad considerada crítica en la carga de dll en Windows XP. * MFSA 2010-51: Boletín de gravedad crítica, por una vulnerabilidad por puntero que no apunta a un objeto válido del tipo adecuado en el uso del plugin de array DOM. * MFSA 2010-50: Boletín considerado como crítico, trata de un desbordamiento de entero en el Frameset. * MFSA 2010-49: Boletín de carácter crítico, trata de diversos problemas relacionados con el uso de la memoria del motor del navegador.
MFSA 2010-63 Information leak via XMLHttpRequest statusText MFSA 2010-62 Copy-and-paste or drag-and-drop into designMode document allows XSS MFSA 2010-61 UTF-7 XSS by overriding document charset using <object> type attribute MFSA 2010-60 XSS using SJOW scripted function MFSA 2010-59 SJOW creates scope chains ending in outer object MFSA 2010-58 Crash on Mac using fuzzed font in data: URL MFSA 2010-57 Crash and remote code execution in normalizeDocument MFSA 2010-56 Dangling pointer vulnerability in nsTreeContentView MFSA 2010-55 XUL tree removal crash and remote code execution MFSA 2010-54 Dangling pointer vulnerability in nsTreeSelection MFSA 2010-53 Heap buffer overflow in nsTextFrameUtils::TransformText MFSA 2010-52 Windows XP DLL loading vulnerability MFSA 2010-51 Dangling pointer vulnerability using DOM plugin array MFSA 2010-50 Frameset integer overflow vulnerability MFSA 2010-49 Miscellaneous memory safety hazards (rv:1.9.2.9/ 1.9.1.12)
|
|||||
| |||||
