sábado, 24 de septiembre de 2016

Mozilla publica Firefox 49 y corrige 18 nuevas vulnerabilidades

Mozilla ha anunciado la publicación de la versión 49 de Firefox, que además de incluir mejoras y novedades soluciona 18 nuevas vulnerabilidades en el navegador. También se ha publicado Firefox ESR 45.4.

Hace mes y medio que Mozilla publicó la versión 48 de su navegador. Ahora acaba de publicar una nueva versión que incorpora nuevas funcionalidades y mejoras. Se ha actualizado el administrador de credenciales para permitir a las páginas https usar las credenciales guardadas.

Por otra parte, se ha cambiado el modo de publicación de información sobre las vulnerabilidades corregidas. Si anteriormente publicaban un boletín por cada problema corregido (a veces abarcando varios CVEs), en la actualidad solo han publicado un boletín (MSFA-2016-085) englobando todas las vulnerabilidades corregidas. Por tanto, se ha reducido la cantidad y calidad de la información aportada. Un cambio a peor.

Según la propia clasificación de Mozilla, cuatro de ellas están consideradas críticas, 10 son de gravedad alta, dos de moderada y las dos restantes de nivel bajo. En total se corrigen 18 nuevas vulnerabilidades en Firefox.

Las vulnerabilidades críticas residen en un desbordamiento de búfer al trabajar con filtros vacios durante la generación de gráficos canvas (CVE-2016-5275), otro desbordamiento de búfer mientras se decodifican frames de imágenes a imágenes (CVE-2016-5278), así como problemas (CVE-2016-5256 y CVE-2016-5257) de corrupción de memoria en el motor del navegador que podrían permitir la ejecución remota de código.

Las vulnerabilidades de gravedad alta residen en un desbordamiento de búfer en la conversión de texto con caracteres Unicode (CVE-2016-5270), una caída por casting incorrecto al tratar diseños con elementos input (CVE-2016-5272), diversos problemas por uso de memoria después de liberarla (CVE-2016-5276, CVE-2016-5274, CVE-2016-527, CVE-2016-5280 y CVE-2016-5281), revelación de datos privados a través de <iframe src> (CVE-2016-5283), una vulnerabilidad debido a un error en el pinning de las actualizaciones de complementos (CVE-2016-5284).

También se ha publicado Firefox ESR 45.4  (MSFA-2016-086); versión de soporte extendido especialmente destinada a grupos que despliegan y mantienen un entorno de escritorio en grandes organizaciones como universidades, escuelas, gobiernos o empresas. Está actualización incluye la corrección de 12 vulnerabilidades.

La nueva versión está disponible a través del sitio oficial de descargas de Firefox:
o desde la actualización del navegador en "Ayuda/Acerca de Firefox".

Firefox ESR está disponible desde:


Más información:

Firefox Notes
Version 49.0

Security vulnerabilities fixed in Firefox 49

una-al-dia (04/08/2016) Mozilla publica Firefox 48 y corrige 24 nuevas vulnerabilidades

Security vulnerabilities fixed in Firefox ESR 45.4


Antonio Ropero

Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada