martes, 2 de abril de 2013

Mozilla publica 11 boletines de seguridad para Firefox

Mozilla ha publicado la versión 20 de su navegador Firefox, que corrige 11 fallos de seguridad descritos en 11 boletines e implementa varias mejoras para la navegación privada y otros cambios estéticos.

La versión número 20 del popular navegador ha incluido una nueva funcionalidad que permite iniciar la navegación privada (que no almacena datos en el historial), con la misma sesión que se tiene en la ventana normal. Hasta ahora, era necesario reiniciar todo el navegador para poder navegar "de incógnito", pero con esta nueva versión, las pestañas de incógnito y las "normales" pueden convivir en la misma sesión del navegador.

Otro cambio significativo es que la ventana de descargas habitual en los últimos años ha desaparecido, mostrándose ahora en un discreto desplegable a la derecha de la barra de navegación.

En cuando a las vulnerabilidades corregidas, tres boletines (MFSA 2013-36, MFSA 2013-35 y MFSA 2013-30) tienen un impacto crítico. El primero corrige un error relacionado con la implementación de 'Same Origin Wrappers' y que podría permitir una ejecución de código arbitrario con los permisos del usuario. El segundo es un error en la biblioteca 'WebGL' que implementa Firefox y que también podría permitir la ejecución de código arbitrario y el tercero contiene tres vulnerabilidades relacionados con el manejo de memoria.

Otros cuatro boletines (MFSA 2013-38, MFSA 2013-34, MFSA 2013-32, MFSA 2013-31) tienen un impacto alto. Uno de ellos corrige un error en las funciones relacionadas con el histórico de JavaScript, que se podrían utilizar para realizar una suplantación de identidad a través de un ataque XSS. Otros dos corrigen una elevación de privilegios a través del sistema de 'Mozilla Updater' y 'Mozilla Maintenance Service' y el último solventa un fallo en la biblioteca 'Cairo' con el que se podría ejecutar código arbitrario.

Los cuatro boletines restantes (MFSA 2013-40, MFSA 2013-39, MFSA 2013-37, MFSA 2013-33) tienen un impacto medio. El primero se trata de una lectura fuera de límites en un vector, el segundo una corrupción de memoria a través del renderizado de imágenes PNG, el tercero permitiría la revelación de información sensible (cuyo vector de ataque está relacionado con el uso de pestañas) y el cuarto permitiría un acceso no autorizado (de lectura y escritura) a la carpeta 'app_tmp' en dispositivos Android.

La nueva versión está disponible a través del sitio oficial de descargas de Firefox: http://www.mozilla.org/es-ES/firefox/new/
Por otra parte, cabe señalar que ocho de los boletines publicados (MFSA 2013-40, MFSA 2013-38, MFSA 2013-36, MFSA 2013-35, MFSA 2013-34, MFSA 2013-32, MFSA 2013-31 y MFSA 2013-30) también afectan a Thunderbird  y SeaMonkey, por lo que se han publicado las versiones 17.0.5 y 2.17 de ambos productos.

Más información:

Firefox Gives You More Control Over Your Privacy:

Security Advisories for Firefox:


Antonio Sánchez

2 comentarios:

  1. Esperemos que el desplegable de descargas nuevo tenga la misma funcionalidad que la ventana del gestor que han quitado. O sea que se puedan ver los elementos descargados y que pinchando sobre ellos con el botón derecho del ratón puedas ir al directorio donde se han descargado, porque la verdad es que llevan una racha de cambios con los que han empeorado (que la ventana para meter una dirección en los bookmarks no pueda redimensionarse, cuando antes sí, por ejemplo).

    Tomen nota, señores de Mozilla, porque se están pareciendo ustedes cada vez más a Microsoft, cada cambio que hacen es a peor.
    Y no, no nos podemos permitir el lujo de que se parezcan ustedes a Microsoft. Con un diarreico crónico y terminal ya tenemos bastante.

    ResponderEliminar
  2. Parece que la ventana de descargas está bastantes bien, a ver si con el uso no nos caga en la cara...

    ResponderEliminar