notas de seguridad para productos Mozilla

Entre el 9 y el 11 de octubre, la fundación Mozilla ha publicado un
total de 16 boletines (del MFSA 2012-74 al MFSA 2012-89), 13 de ellos de
importancia crítica y otros tres de gravedad alta. En total se cubren 29
vulnerabilidades en Firefox, Thunderbird y SeaMonkey.

El 9 de octubre se publicaron 14 de los boletines, correspondiendo con
la publicación de la nueva versión Firefox 16. Sin embargo, tal y como
informamos recientemente en una-al-día se encontró una vulnerabilidad
que podía permitir acceder a las URLs visitadas por un usuario, que
obligó a retirarlo para su descarga. El 10 de octubre se publicó la
versión corregida para Android y el 11 de octubre se publicó la versión
16.0.1 para Windows, Mac y Linux (correspondiendo con la publicación de
dos nuevos boletines).

MFSA 2012-74: Dos vulnerabilidades críticas en el motor del navegador
empleado en los productos Mozilla.
MFSA 2012-75: Resuelve problemas críticos relacionados con el
tratamiento de elementos .
MFSA 2012-76: De importancia alta. Corrige una violación de las
especificaciones de HTML5 para el comportamiento de document.domain.
MFSA 2012-77: Una vulnerabilidad crítica en que algunos métodos de
DOMWindowUtils pueden saltarse las comprobaciones de seguridad,
permitiendo llamadas entre scripts de diferentes páginas web.
MFSA 2012-78: Vulnerabilidad crítica en el Modo Reader que solo afecta a
Firefox para Android, que puede permitir la elevación de privilegios en
Dispositivos Androide a través de ataques similares a un XSS.
MFSA 2012-79: Una vulnerabilidad crítica que puede dar lugar a una
denegación de servicio, mediante una combinación de llamadas al modo
pantalla en tamaño completo y navegación hacia atrás en la historia.
MFSA 2012-80: Denegación de servicio cuando se usa el operador
instanceof en determinados tipos de objetos JavaScript.
MFSA 2012-81: Vulnerabilidad de salto de protecciones cuando la función
GetProperty se llama a través de JSAPI.
MFSA 2012-82: Vulnerabilidad de XSS debido a que el objeto top y la
propiedad location pueden ser accesibles a través de plugins.
MFSA 2012-83: Chrome Object Wrapper (COW) no deshabilita el acceso a
funciones o propiedades privilegiadas.
MFSA 2012-84: Inyección de scripts y Spoofing a través de location.hash.
MFSA 2012-85: Seis vulnerabilidades diferentes (de uso después de
liberar, desbordamiento de búfer, y de lectura fuera de límites)
descubiertas por el Google Chrome Security Team empleando la herramienta
Address Sanitizer.
MFSA 2012-86: Cuatro vulnerabilidades de corrupción de memoria que
podrían dar lugar a ejecución remota de código.
MFSA 2012-87: Vulnerabilidad crítica por uso después de liberar en IME
State Manager.
MFSA 2012-88: Dos vulnerabilidades de denegación de servicio en el motor
del navegador.
MFSA 2012-84: Vulnerabilidad crítica debido a que no se aplican las
comprobaciones de seguridad en defaultValue.

La solución a estas vulnerabilidades y las nuevas funcionalidades del
navegador se han introducido en las versiones Firefox 16.0.1, Firefox
ESR 10.0.9, Thunderbird 16.0.1, Thunderbird ESR 10.0.9 y SeaMonkey
2.13.1.
http://www.mozilla.org.