20 de noviembre de 2013

MOZILLA. Publica actualización de la librería Network Security Services

Mozilla ha lanzado una actualización para la librería NSS (Network Security Services) con objeto de corregir distintos problemas clasificados con diveros grados de importancia que van desde leve hasta crítica.
La librería NSS se encarga de añadir el soporte para SSL, S/MIME y otros estándares de seguridad en Internet. NSS proporciona una implementación completa open-source de las librerías criptográficas y se emplea por múltiples productos y fabricantes como AOL, Red Hat o Sun.
Detalle e Impacto potencial de los problemas corregidos
  1. El primero se origina en un desbordamiento de búfer (con CVE-2013-5605) corregido en las dos nuevas versiones de la librería NSS. 
  2. El segundo problema, con CVE-2013-5606, consiste en que si se usa la característica verifylog cuando se validan certificados no se rechazan los certificados con restricciones de uso de clave incompatibles. Aunque este problema no afecta directamente a Firefox podría afectar a otro software que haga uso de la librería comprometida.
  3. Otra vulnerabilidad corregida (CVE-2013-1741) se presenta en forma de denegación de servicio en el tratamiento de certificados en sistemas de 64 bits. Un problema de truncado de enteros en PL_ArenaAllocate (CVE-2013-5607) 
  4. Por último se ha bajado la prioridad del cifrado RC4 para que el servidor elija cifrados más seguros que el RC4 (CVE-2013-2566).
Recomendación
  • Se recomienda aplicar urgentemente las actualizaciones propuestas a continuación. 
  •  Se han publicado las versiones Firefox 25.0.1, Firefox ESR 24.1.1, Firefox ESR 17.0.11 y Seamonkey 2.22.1 que incluyen la librería actualizada, disponibles a través del sitio oficial de descargas de Firefox: http://www.mozilla.org/es-ES/firefox/new/
Más información:
Fuente: Hispasec