Firefox-ThunderBird-SeaMonkey-logo

Mozilla ha publicado el 15 de Noviembre del presente año una actualización de la librería  Miscellaneous Network Security Services (NSS)empleada en sus productos Firefox, Seamonkey y Thunderbird con el objetivo de corregir diversos problemas clasificados con el nivel de gravedad crítica.

La librería Miscellaneous Network Security Services (NSS) se actualiza a la versión 3.15.3 con la excepción de las versiones ESR17 que se actualizan a la versión 3.14.5.

En informática, la librería Miscellaneous Network Security Services (NSS) (Servicios de Seguridad de Red) comprenden un conjunto de librerías diseñadas para soporte  multi-plataforma en el desarrollo de aplicaciones cliente y servidor con seguridad habilitada con soporte opcional para la aceleración de hardware SSL en el servidor y hardware de tarjetas inteligentes en el lado del cliente. NSS proporciona una implementación completa de código abierto de librerías criptográficas soportando Secure Sockets Layer (SSL) / Transport Layer Security (TLS) y S /MIME. La librería NSS  es una implementación bajo licencia GPL compatible con la licencia MPL 2.0

 

La primera de las vulnerabilidades corregida con el CVE-2013-5605 consiste en un desbordamiento de búfer corregido en las dos nuevas versiones de la librería NSS.

La segunda de las vulnerabilidades con el CVE-2013-5606 consiste en que cuando se validan certificados si se usa la característica verifylog los certificados que tengan restricciones de uso de clave incompatible no se rechazan. Este problema no afecta directamente al navegador web Firefox pero podría afectar a cualquier otro software que haga uso de la librería con problemas.

La tercera de las vulnerabilidades corregida con el CVE-2013-1741 consiste en una denegación de servicio en el tratamiento de certificados en sistemas de 64 bits al intentar escribir 4 GB de valores nulos.

La cuarta de las vulnerabilidades corregida con el CVE-2013-5607 consiste de la evitación del truncado de enteros en PL_ArenaAllocate.

La quinta y última de las vulnerabilidades con  CVE-2013-2566 consiste en que en NSS se baja la prioridad de RC4 en el anunció de la suite de cifrado para cifrados más seguros que el RC4 sean susceptibles de ser elegidos por el servidor.

Las versiones publicadas por la Fundacion Mozilla en sus productos Firefox 25.0.1, Seamonkey 2.22.1 y las versiones ESR (Extended Support Releases), Firefox ESR 24.1.1, Firefox ESR 17.0.11 y Thunderbird 24.1.1 incluyen las librerías actualizadas, estos productos  están disponibles a través de los enlaces oficiales siguientes:

Firefox 25.0.1 (en el enlace escoja el idioma deseado)

Seamonkey 2.22.1 (la suite solo está disponible en idioma inglés y en el enlace Language Packs (Paquete de Lenguajes escoja el idioma deseado.

Firefox ESR 24.11/ Firefox ESR 17.0.11 (en el enlace escoja el navegador y idioma deseado)

 Thunderbird 24.1.1 (en el enlace escoja el idioma deseado)

Fuente: Mozilla Foundation Security Advisory 2013-103