La publicación de boletines entre el 9 y el 11 de octubre de 2012 de la fundación Mozilla han sido un total de 16 (del MFSA 2012-74 al MFSA 2012-89), 13 de ellos de importancia crítica y otros tres de gravedad alta.

En total se cubren 29 vulnerabilidades en Firefox, Thunderbird y SeaMonkey.

El 9 de octubre se publicaron 14 de los boletines, correspondiendo con la publicación de la nueva versión Firefox 16.  Sin embargo, tal y como informamos recientemente en una-al-día se encontró una vulnerabilidad que podía permitir acceder a las URLs visitadas por un usuario, que obligó a retirarlo para su descarga.  El 10 de octubre se publicó la versión corregida para Android y el 11 de octubre se publicó la versión 16.0.1 para Windows, Mac y Linux (correspondiendo con la publicación de dos nuevos boletines).

MFSA 2012-74: Dos vulnerabilidades críticas en el motor del navegador empleado en los productos Mozilla.
MFSA 2012-75: Resuelve problemas críticos relacionados con el tratamiento de elementos <select>.
MFSA 2012-76: De importancia alta. Corrige una violación de las especificaciones de HTML5 para el comportamiento de document.domain.
MFSA 2012-77: Una vulnerabilidad crítica en que algunos métodos de DOMWindowUtils pueden saltarse las comprobaciones de seguridad, permitiendo llamadas entre scripts de diferentes páginas web.
MFSA 2012-78: Vulnerabilidad crítica en el Modo Reader que solo afecta a Firefox para Android, que puede permitir la elevación de privilegios en Dispositivos Androide a través de ataques similares a un XSS.
MFSA 2012-79: Una vulnerabilidad crítica que puede dar lugar a una denegación de servicio, mediante una combinación de llamadas al modo pantalla en tamaño completo y navegación hacia atrás en la historia.
MFSA 2012-80: Denegación de servicio cuando se usa el operador instanceof en determinados tipos de objetos JavaScript.
MFSA 2012-81: Vulnerabilidad de salto de protecciones cuando la función GetProperty se llama a través de JSAPI.
MFSA 2012-82: Vulnerabilidad de XSS debido a que el objeto top y la propiedad location pueden ser accesibles a través de plugins.
MFSA 2012-83: Chrome Object Wrapper (COW) no deshabilita el acceso a funciones o propiedades privilegiadas.
MFSA 2012-84: Inyección de scripts y Spoofing a través de location.hash.
MFSA 2012-85: Seis vulnerabilidades diferentes (de uso después de liberar, desbordamiento de búfer, y de lectura fuera de límites) descubiertas por el Google Chrome Security Team empleando la herramienta Address Sanitizer.
MFSA 2012-86: Cuatro vulnerabilidades de corrupción de memoria que podrían dar lugar a ejecución remota de código.
MFSA 2012-87: Vulnerabilidad crítica por uso después de liberar en IME State Manager.
MFSA 2012-88: Dos vulnerabilidades de denegación de servicio en el motor del navegador.
MFSA 2012-84: Vulnerabilidad crítica debido a que no se aplican las comprobaciones de seguridad en defaultValue.

La solución a estas vulnerabilidades y las nuevas funcionalidades del navegador se han introducido en las versiones Firefox 16.0.1, Firefox ESR 10.0.9, Thunderbird 16.0.1, Thunderbird ESR 10.0.9 y SeaMonkey 2.13.1.
http://www.mozilla.org.

Opina sobre esta noticia:
http://unaaldia.hispasec.com/2012/10/boletines-de-seguridad-y-nuevas.html#comments

Más información:

Mozilla Foundation Security Advisories
http://www.mozilla.org/security/announce/

MFSA 2012-89 defaultValue security checks not applied
http://www.mozilla.org/security/announce/2012/mfsa2012-89.html

MFSA 2012-88 Miscellaneous memory safety hazards (rv:16.0.1)
http://www.mozilla.org/security/announce/2012/mfsa2012-88.html

MFSA 2012-87 Use-after-free in the IME State Manager
http://www.mozilla.org/security/announce/2012/mfsa2012-87.html

MFSA 2012-86 Heap memory corruption issues found using Address Sanitizer
http://www.mozilla.org/security/announce/2012/mfsa2012-86.html

MFSA 2012-85 Use-after-free, buffer overflow, and out of bounds read issues found using Address Sanitizer
http://www.mozilla.org/security/announce/2012/mfsa2012-85.html

MFSA 2012-84 Spoofing and script injection through location.hash
http://www.mozilla.org/security/announce/2012/mfsa2012-84.html

MFSA 2012-83 Chrome Object Wrapper (COW) does not disallow acces to privileged functions or properties
http://www.mozilla.org/security/announce/2012/mfsa2012-83.html

MFSA 2012-82 top object and location property accessible by plugins
http://www.mozilla.org/security/announce/2012/mfsa2012-82.html

MFSA 2012-81 GetProperty function can bypass security checks
http://www.mozilla.org/security/announce/2012/mfsa2012-81.html

MFSA 2012-80 Crash with invalid cast when using instanceof operator
http://www.mozilla.org/security/announce/2012/mfsa2012-80.html

MFSA 2012-79 DOS and crash with full screen and history navigation
http://www.mozilla.org/security/announce/2012/mfsa2012-79.html

MFSA 2012-78 Reader Mode pages have chrome privileges
http://www.mozilla.org/security/announce/2012/mfsa2012-78.html

MFSA 2012-77 Some DOMWindowUtils methods bypass security checks
http://www.mozilla.org/security/announce/2012/mfsa2012-77.html

MFSA 2012-76 Continued access to initial origin after setting document.domain
http://www.mozilla.org/security/announce/2012/mfsa2012-76.html

MFSA 2012-75 select element persistance allows for attacks
http://www.mozilla.org/security/announce/2012/mfsa2012-75.html

MFSA 2012-74 Miscellaneous memory safety hazards (rv:16.0/ rv:10.0.8)
http://www.mozilla.org/security/announce/2012/mfsa2012-74.html

Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Logotipos/Imágenes/Texto MR Respectiva/s Compañía/s mencionada/s en la noticia.
Portal de Seguridad Informática, Tecnología e Internet
Descargas Antivirus/Antimalware
www.antivirusgratis.com.ar