De Hispasec – Una al Día: Mozilla corrige vulnerabilidades en Thunderbird (20/03/2016)

Mozilla corrige vulnerabilidades en Thunderbird

domingo, 20 de marzo de 2016

Mozilla Foundation ha publicado la nueva versión de Thunderbird 38.7, su popular cliente de correo, en la que corrigen 24 vulnerabilidades. Se agrupan en 10 boletines (seis de nivel crítico, tres clasificados de gravedad alta y uno de baja).

thunderbird.38.7

Dado que Thunderbird 38 contiene código subyacente que se basa en el de Firefox 38 ESR (versión de soporte extendido), los problemas corregidos también fueron solucionados en Firefox 38.7 ESR (publicado la semana pasada).

Las vulnerabilidades críticas residen en dos problemas (CVE-2016-1952 y CVE-2016-1953) de tratamiento de memoria en el motor del navegador que podrían permitir la ejecución remota de código. Por usos después de liberar en el tratamiento de cadenas HTML5 (CVE-2016-1960), en SetBody (CVE-2016-1961), y durante transformaciones XML (CVE-2016-1964). También por un desbordamiento de búfer al decodificar ASN.1 en NSS (CVE-2016-1950). Por último, 14 vulnerabilidades en el tratamiento de fuentes en la librería Graphite 2 en la versión 1.3.5 (CVE-2016-1977 y CVE-2016-2790 al CVE-2016-2802).

Además, también se han corregido otras vulnerabilidades de gravedad alta como una sobreescritura local de archivos y escalada de privilegios a través de informes CSP, corrupción de memoria con plugins NPAPI maliciosos y un uso después de liberar mientras se procesan llaves codificadas DER en las librerías Network Security Services (NSS).

La nueva versión está disponible a través del sitio oficial de descargas de Thunderbird:

https://www.mozilla.org/thunderbird/

o desde la actualización del navegador en Ayuda/Acerca de Thunderbird.

Más información:

Thunderbird Notes

Version 38.7.0

https://www.mozilla.org/en-US/thunderbird/38.7.0/releasenotes/

Fixed in Thunderbird 38.7

https://www.mozilla.org/en-US/security/known-vulnerabilities/thunderbird/#thunderbird38.7

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Acerca de Hector Suarez Planas

Es Licenciado en Ciencia de la Computación (3 de julio de 2002). Ha sido Administrador de Red en varias organizaciones, Programador y Analista de Sistemas. Actualmente se desempeña como Administrador de Red del Telecentro Tele Turquino de Santiago de Cuba. Tiene experiencia con sistemas Windows y GNU/Linux, Infraestructura de Redes (Cisco, AlliedTelesis, Netgear y HP ProCurve, Vyatta/VyOS), Servidores tanto físicos como virtuales (plataformas VMWare, Proxmox VE y Xen), Sistemas de Seguridad Informática (Snort/Suricata IDS, appliances AlienVault OSSIM), programador (Delphi, C++ Builder, Perl [poco], Python [algo]), entre otras cosas. Actualmente estoy incursionando en todo lo que tiene relación con Cloud Computing (OpenStack) y Centros de Datos. :-)
Esta entrada fue publicada en Actualizaciones, Mozilla, Seguridad, Thunderbird, Vulnerabilidades. Guarda el enlace permanente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *