miércoles, 5 de febrero de 2014

Mozilla publica Firefox 27 y corrige 15 nuevas vulnerabilidades



Mozilla ha anunciado la publicación de la versión 27 de Firefox que incluye nuevas mejoras y la corrección de 15 nuevas vulnerabilidades.

Entre las novedades incluidas y más destacadas se incluye el soporte de TLS 1.2 y mejoras en la API social para permitir el uso de múltiples servicios de forma simultánea (chat, recepción de notificaciones, etc.), soporte para el protocolo SPDY 3.1 y reinicio de hojas de estilo.

Por otra parte, se han publicado 13 boletines de seguridad (cuatro de ellos considerados críticos) que corrigen 15 vulnerabilidades con Firefox 27.

  • MFSA 2014-01: Boletín considerado crítico por diversos problemas de corrupción de memoria en el motor del navegador (CVE-2014-1477 y CVE-2014-1478).
        
  • MFSA 2014-02: Soluciona una vulnerabilidad de gravedad alta que permite clonar elementos XUL protegidos mediante el uso de XML Binding Language (XBL) (CVE-2014-1479).
        
  • MFSA 2014-03: Boletín de carácter moderado, corrige un problema en el cuadro de diálogo de grabación de archivos descargados que podría permitir la falsificación y la ejecución no deseada de archivos (CVE-2014-1480). 
  • MFSA 2014-04: Soluciona una vulnerabilidad crítica en la decodificación de imágenes en RasterImage (CVE-2014-1482). 

  • MFSA 2014-05: Corrige una vulnerabilidad moderada de fuga de información a través de las funciones document.caretPositionFromPoint y document.elementFromPoint (CVE-2014-1483).
          
  • MFSA 2014-06: Boletín de carácter moderado que afecta a Firefox para Android, que podría permitir a otras aplicaciones descubrir información del perfil del usuario (CVE-2014-1484).   
        
  • MFSA 2014-07: Soluciona un problema de impacto moderado, relacionado con que la implementación de Content Security Policy (CSP) no es conforma a la especificación (CVE-2014-1485).  
        
  • MFSA 2014-08: Destinado a corregir una vulnerabilidad crítica por un uso después de liberar en el procesamiento de imágenes con la función imgRequestProxy (CVE-2014-1486).
        
  • MFSA 2014-09: Soluciona una vulnerabilidad de gravedad alta, por fuga de información a través de los mensajes de error en web workers (CVE-2014-1487). 
        
  • MFSA 2014-10: Soluciona un problema de impacto bajo relacionado con la página de inicio por defecto (about:home) y páginas subsiguientes (CVE-2014-1489).
         
  • MFSA 2014-11: Soluciona una vulnerabilidad crítica por una caída cuando se usan web workers con asm.js (CVE-2014-1488).
        
  • MFSA 2014-12: Soluciona diversas vulnerabilidades de gravedad alta relacionadas con el manejo de tickets en las librerías Network Security Services (NSS) (CVE-2014-1491 y CVE-2014-1490).
        
  • MFSA 2014-13: Boletín de carácter alto en relación a una inconsistencia entre diferentes motores JavaScript en el manejo de objetos Windows (CVE-2014-1481).

La nueva versión está disponible a través del sitio oficial de descargas de Firefox: http://www.mozilla.org/es-ES/firefox/new/

Más información:

MFSA 2014-13 Inconsistent JavaScript handling of access to Window objects

MFSA 2014-12 NSS ticket handling issues

MFSA 2014-11 Crash when using web workers with asm.js

MFSA 2014-10 Firefox default start page UI content invokable by script

MFSA 2014-09 Cross-origin information leak through web workers

MFSA 2014-08 Use-after-free with imgRequestProxy and image processing

MFSA 2014-07 XSLT stylesheets treated as styles in Content Security Policy

MFSA 2014-06 Profile path leaks to Android system log

MFSA 2014-05 Information disclosure with *FromPoint on iframes

MFSA 2014-04 Incorrect use of discarded images by RasterImage

MFSA 2014-03 UI selection timeout missing on download prompts

MFSA 2014-02 Clone protected content with XBL scopes

MFSA 2014-01 Miscellaneous memory safety hazards (rv:27.0 / rv:24.3)




Antonio Ropero

Twitter: @aropero

1 comentario:

  1. Muy interesante información.
    ¿Hay algún sistema o programa que sea invulnerable?

    ResponderEliminar