Nueva actualización de seguridad para Firefox.
Mozilla ha publicado una actualización de la librería Network Security Services (NSS) empleada en algunos de sus proyectos con objeto de corregir diversos problemas clasificados con diferentes niveles de gravedad (desde leve a crítica).
La librería se actualiza a la versión NSS 3.15.3 con la excepción de las versiones ESR17 en las que se actualiza a NSS 3.14.5. La librería NSS es la encargada de añadir el soporte para SSL, S/MIME y otros estándares de seguridad en Internet. NSS proporciona una implementación completa open-source de las librerías criptográficas y se emplea por múltiples productos y fabricantes como AOL, Red Hat o Sun.
El primero de los problemas corregidos reside en un desbordamiento de búfer (con CVE-2013-5605) corregido en las dos nuevas versiones de la librería NSS. Otro problema (con CVE-2013-5606) consiste en que si se usa la característica verifylog cuando se validan certificados no se rechazan los certificados con restricciones de uso de clave incompatibles. Aunque este problema no afecta directamente a Firefox podría afectar a otro software que haga uso de la librería afectada.
Otra vulnerabilidad corregida (CVE-2013-1741) se presenta en forma de denegación de servicio en el tratamiento de certificados en sistemas de 64 bits. Un problema de truncado de enteros en PL_ArenaAllocate (CVE-2013-5607) y por último se ha bajado la prioridad del cifrado RC4 para que el servidor elija cifrados más seguros que el RC4 (CVE-2013-2566).
Se han publicado las versiones Firefox 25.0.1, Firefox ESR 24.1.1, Firefox ESR 17.0.11 y Seamonkey 2.22.1 que incluyen la librería actualizada, disponibles a través del sitio oficial de descargas de Firefox: http://www.mozilla.org/es-ES/
La librería se actualiza a la versión NSS 3.15.3 con la excepción de las versiones ESR17 en las que se actualiza a NSS 3.14.5. La librería NSS es la encargada de añadir el soporte para SSL, S/MIME y otros estándares de seguridad en Internet. NSS proporciona una implementación completa open-source de las librerías criptográficas y se emplea por múltiples productos y fabricantes como AOL, Red Hat o Sun.
El primero de los problemas corregidos reside en un desbordamiento de búfer (con CVE-2013-5605) corregido en las dos nuevas versiones de la librería NSS. Otro problema (con CVE-2013-5606) consiste en que si se usa la característica verifylog cuando se validan certificados no se rechazan los certificados con restricciones de uso de clave incompatibles. Aunque este problema no afecta directamente a Firefox podría afectar a otro software que haga uso de la librería afectada.
Otra vulnerabilidad corregida (CVE-2013-1741) se presenta en forma de denegación de servicio en el tratamiento de certificados en sistemas de 64 bits. Un problema de truncado de enteros en PL_ArenaAllocate (CVE-2013-5607) y por último se ha bajado la prioridad del cifrado RC4 para que el servidor elija cifrados más seguros que el RC4 (CVE-2013-2566).
Se han publicado las versiones Firefox 25.0.1, Firefox ESR 24.1.1, Firefox ESR 17.0.11 y Seamonkey 2.22.1 que incluyen la librería actualizada, disponibles a través del sitio oficial de descargas de Firefox: http://www.mozilla.org/es-ES/
Más información:
Mozilla Foundation Security Advisory 2013-103http://www.mozilla.org/
No hay comentarios:
Publicar un comentario