viernes, 16 de enero de 2015

Mozilla publica Firefox 35 y corrige 10 nuevas vulnerabilidades

Mozilla ha anunciado la publicación de la versión 35 de Firefox, junto con nueve boletines de seguridad destinados a solucionar 10 nuevas vulnerabilidades en el propio navegador, el gestor de correo Thunderbird y la suite SeaMonkey.

Firefox 35 entre otras novedades incluye la tienda de aplicaciones Mozilla (Firefox Marketplace), el soporte nativo para H264 (MP4) en Mac OS X Snow Leopard (10.6) y superiores, mejoras en el servicio de videollamadas Hello, reducción del uso de recursos para imágenes escaladas y también se ha actualizado PDF.js a la versión 1.0.907.

Por otra parte, se han publicado nueve boletines de seguridad (tres de ellos considerados críticos, uno importante, cuatro moderados y un último de gravedad baja) que corrigen 10 nuevas vulnerabilidades en los diferentes productos Mozilla.

MFSA 2015-01: Boletín considerado crítico por diversos problemas de corrupción de memoria en el motor del navegador (CVE-2014-8634 y CVE-2014-8635).

MFSA 2015-02: Soluciona una vulnerabilidad de gravedad alta debido al uso de memoria sin inicializar en la representación de imágenes (CVE-2014-8637).

MFSA 2015-03: Boletín de carácter moderado, que corrige un problema con navigator.sendBeacon() que podría dar permitir ataques Cross-site request forgery (XSRF) (CVE-2014-8638).

MFSA 2015-04: Corrige una vulnerabilidad de gravedad de gravedad moderada que podría permitir la inyección de cookies (CVE-2014-8639).

MFSA 2015-05: Soluciona una vulnerabilidad de gravedad moderada por una lectura de memoria sin inicializar en Web Audio (CVE-2014-8640).

MFSA 2015-06: Soluciona una vulnerabilidad considerada crítica por un uso después de liberar en WebRTC (CVE-2014-1551).

MFSA 2015-07: Boletín de carácter alto que permite escapar de la sandbox GMP (Gecko Media Plugin) en sistemas Windows (CVE-2014-8643).

MFSA 2015-08: Soluciona un problema de impacto bajo, por un fallo en el reconocimiento de la extensión id-pkix-ocsp-nocheck por OCSP (Online Certificate Status Protocol) (CVE-2014-8642).

MFSA 2015-09: Destinado a corregir una vulnerabilidad de gravedad moderada que podría permitir una escalada de privilegios debido a que determinados objetos DOM podrían evitar XrayWrappers (CVE-2014-8636).

La nueva versión está disponible a través del sitio oficial de descargas de Firefox: http://www.mozilla.org/es-ES/firefox/new/

Más información:

Version 35.0, first offered to Release channel users on January 13, 2015

Miscellaneous memory safety hazards (rv:35.0 / rv:31.4)

Uninitialized memory use during bitmap rendering

sendBeacon requests lack an Origin header

Cookie injection through Proxy Authenticate responses

Read of uninitialized memory in Web Audio

Read-after-free in WebRTC

Gecko Media Plugin sandbox escape

Delegated OCSP responder certificates failure with id-pkix-ocsp-nocheck extension

XrayWrapper bypass through DOM objects


Antonio Ropero

No hay comentarios:

Publicar un comentario en la entrada