Mozilla publicado 18 boletines de seguridad (del MFSA 2014-15 al MFSA
2014-32) que corrigen vulnerabilidades que afectan a su navegador web Firefox,
al gestor de correo Thunderbird y la suite SeaMonkey. En total se han corregido
20 vulnerabilidades, entre las que se incluyen cinco anunciadas en el concurso
Pwn2Own.
Teniendo en cuenta el propio
criterio de Mozilla cinco de los boletines tienen un nivel de gravedad
"critico", tres de nivel "alto", siete de nivel
"moderado" y finalmente otros tres de nivel "bajo".
Detalle de los boletines críticos
- MFSA 2014-29: Boletín destinado a solucionar dos vulnerabilidades presentadas en el Pwn2Own que usadas de forma combinada (CVE-2014-1510 y CVE-2014-1511) podrían permitir a un atacante cargar una URL JavaScript que se ejecutaría con todos los privilegios del navegador, lo que podría permitir la ejecución de código arbitrario.
- MFSA 2014-30: También procedente del Pwn2Own, una vulnerabilidad al usar memoria liberada en TypeObject (CVE-2014-1512).
- MFSA 2014-31: Este boletín también soluciona una vulnerabilidad anunciada en el Pwn2Own que puede permitir la ejecución de código arbitrario debido a lecturas y escrituras fuera de límites en el montón JavaScript (CVE-2014-1513).
- MFSA 2014-32: Con este boletín boletín Mozilla termina de corregir los problemas presentados en el Pwn2Own, en esta ocasión se trata de una escritura fuera de los límites de memoria, que puede permitir la ejecución de código arbitrario (CVE-2014-1514).
- MFSA 2014-15: En este boletín se solucionan problemas de seguridad (englobados en los CVE CVE-2014-1493 y CVE-2014-1494) en el motor del navegador usado por Firefox y otros productos Mozilla.
Recomendación
- Las versiones de los productos de Mozilla que solucionan todas las vulnerabilidades anteriormente expuestas son las siguientes: Firefox 28, Firefox ESR 24.4, Thunderbird 24.4 y Seamonkey 2.25. Se encuentran disponibles para su descarga a través de los canales habituales o mediante las actualizaciones automáticas.
- Mozilla Foundation Security Advisories http://www.mozilla.org/security/announce/