lunes, 1 de diciembre de 2014

Mozilla publica Firefox 34 y corrige nueve nuevas vulnerabilidades

Mozilla ha anunciado la publicación de la versión 34 de Firefox, junto con ocho boletines de seguridad destinados a solucionar nueve vulnerabilidades en el propio navegador y el gestor de correo Thunderbird.

Entre las mejoras incluidas en Firefox 34 destaca la inclusión de videoconferencias con Firefox Hello desde el propio navegador, un nuevo cuadro de búsquedas, mayor personalización, acceso a WebIDE para desarrolladores y se ha desactivado SSLv3.

Por otra parte, se han publicado ocho boletines de seguridad (tres de ellos considerados críticos y tres de nivel alto y dos moderados) que corrigen nueve nuevas vulnerabilidades en los diferentes productos Mozilla. También se han publicado las versiones Firefox ESR 31.3 y Thunderbird 31.3 que solucionan estas vulnerabilidades.

MFSA 2014-83: Boletín considerado crítico por diversos problemas de corrupción de memoria en el motor del navegador (CVE-2014-1587 y CVE-2014-1588).

MFSA 2014-84: Soluciona una vulnerabilidad de gravedad moderada por la que se pueden manipular bindings XBL a través de hojas de estilo CSS (CVE-2014-1589).

MFSA 2014-85: Boletín de carácter moderado, corrige una vulnerabilidad de denegación de servicio a través de XMLHttpRequest (CVE-2014-1590).

MFSA 2014-86: Soluciona una vulnerabilidad considerada de gravedad alta de obtención de información sensible (como nombres de usuario o tokens single-sign-on) a través de reportes de violación CSP (Content Security Policy) (CVE-2014-1591).

MFSA 2014-87: Soluciona una vulnerabilidad crítica por un uso después de liberar memoria en el tratamiento de HTML5 (CVE-2014-1592).

MFSA 2014-88: Corrige una vulnerabilidad de gravedad crítica por un desbordamiento de búfer durante el tratamiento de contenido multimedia (CVE-2014-1593).

MFSA 2014-89: Soluciona una vulnerabilidad considerada de gravedad alta que podría permitir a una aplicación evitar la política de mismo origen (CVE-2014-1594).

MFSA 2014-90: Corrige una vulnerabilidad de gravedad alta en OS X 10.10 (Yosemite) por la grabación de datos de autenticación en el directorio /tmp (CVE-2014-1595).

La nueva versión está disponible a través del sitio oficial de descargas de Firefox: http://www.mozilla.org/es-ES/firefox/new/


Más información:

Miscellaneous memory safety hazards (rv:34.0 / rv:31.3)

XBL bindings accessible via improper CSS declarations

XMLHttpRequest crashes with some input streams

CSP leaks redirect data via violation reports

Use-after-free during HTML5 parsing

Buffer overflow while parsing media content

Bad casting from the BasicThebesLayer to BasicContainerLayer

Apple CoreGraphics framework on OS X 10.10 logging input data to /tmp directory



Antonio Ropero
Twitter: @aropero


No hay comentarios:

Publicar un comentario en la entrada