Inicio / Alerta Temprana / Avisos Seguridad / Nueva versión 3.6.7 de Firefox disponible

Nueva versión 3.6.7 de Firefox disponible

Fecha de publicación: 
21/07/2010
Importancia: 
4 - Alta
Recursos afectados: 

Dentro de la rama de Firefox 3.6, los navegadores con versión anterior a la 3.6.7

Descripción: 

Mozilla ha publicado una actualización de su navegador Firefox en la rama 3.6, para plataformas Windows, Mac OS X y Linux.

Solución: 

Actualizar lo más pronto posible a la versión 3.6.7 del navegador:

Detalle: 

Esta versión corrige ciertos problemas de estabilidad además de solucionar 14 vulnerabilidades de seguridad, siendo 8 de ellas críticas, 2 altas y 4 bajas. Las fallos críticos pueden derivar en ejecución de código arbitrario permitiendo a un atacante ejecutar código e instalar programas. La nueva versión por tanto soluciona las siguientes vulnerabilidades:

  • CVE-2010-2754: Parámetros URL pueden ser filtrados en scripts de errores cuando el nombre del script y la línea es incluida en el mensaje de error
  • CVE-2010-0654: Ciertos datos pueden ser leídos a través de dominios mediante la inyección de CSS falsos recuperando los datos mediante la API de JavaScript
  • CVE-2010-2751 y CVE-2010-1206: Múltiples vulnerabilidades empleadas para falsificar la barra de direcciones
  • CVE-2010-1210: Caracteres asignados a U+FFFD en codificaciones de 8 bits produce que caracteres posteriores desaparezcan
  • CVE-2010-1207: Un elemento de canvas se puede utilizar para leer datos de otro sitio, violando la política del mismo origen
  • CVE-2010-1213: Posibilidad de leer y analizar los recursos de otros dominios, incluso cuando el contenido no es JavaScript válido, mediante Web Workers y importScripts
  • CVE-2010-1205: Desbordamiento de buffer permite la ejecución remota de código usando una imagen PNG especialmente manipulada tras ser procesada por libpng
  • CVE-2010-2753: Desbordamiento de buffer en entero en la implementación de selección de atributos XUL <tree>
  • CVE-2010-2752: La clase array usada para almacenar valores CSS contiene una vulnerabilidad de desbordamiento de buffer en entero que puede dar lugar a ejecución de remota de código
  • CVE-2010-1215: Ejecución de código arbitrario cuando un script esta ejecutándose en un contexto chrome y accede a un objeto mediante SJOW
  • CVE-2010-1214: Ejecución remota de código en el parámetro EnsureCachedAttrParamArrays
  • CVE-2010-1209: Una error en la implementación de NodeIterator podría dar lugar al control de memoria por parte de un atacante
  • CVE-2010-1208: Un error en la rutina de clonación del atributo DOM bajo ciertas ciertas circunstancias podría dar lugar a una ejecución de código arbitrario
  • CVE-2010-1211 y CVE-2010-1212: Varios fallos de seguridad en el motor de navegación empleado por Firefox y otros productos de Mozilla dan lugar a una corrupción de memoria que podría, bajo ciertas circunstancias, ejecutar código arbitrario

En este momento algunas de las vulnerabilidades sólo son candidatas y están publicadas por el MITRE, cuando sean firmes los CVE y se publiquen en el NIST, INTECO las traducirá a castellano y las podrán consultar en nuestra base de datos de vulnerabilidades.

Impacto:

La explotación de algunas de las vulnerabilidades podrían llegar a permitir una ejecución remota de código