Mozilla publica 11 boletines de seguridad para Firefox

La versión número 20 del popular navegador ha incluido una nueva funcionalidad que permite iniciar la navegación privada (que no almacena datos en el historial), con la misma sesión que se tiene en la ventana normal. Hasta ahora, era necesario reiniciar todo el navegador para poder navegar «de incógnito«, pero con esta nueva versión, las pestañas de incógnito y las «normales» pueden convivir en la misma sesión del navegador.

Otro cambio significativo es que la ventana de descargas habitual en los últimos años ha desaparecido, mostrándose ahora en un discreto desplegable a la derecha de la barra de navegación.

En cuando a las vulnerabilidades corregidas, tres boletines (MFSA 2013-36, MFSA 2013-35 y MFSA 2013-30) tienen un impacto crítico. El primero corrige un error relacionado con la implementación de ‘Same Origin Wrappers‘ y que podría permitir una ejecución de código arbitrario con los permisos del usuario. El segundo es un error en la biblioteca ‘WebGL‘ que implementa Firefox y que también podría permitir la ejecución de código arbitrario y el tercero contiene tres vulnerabilidades relacionados con el manejo de memoria.

Otros cuatro boletines (MFSA 2013-38, MFSA 2013-34, MFSA 2013-32, MFSA 2013-31) tienen un impacto alto. Uno de ellos corrige un error en las funciones relacionadas con el histórico de JavaScript, que se podrían utilizar para realizar una suplantación de identidad a través de un ataque XSS. Otros dos corrigen una elevación de privilegios a través del sistema de ‘Mozilla Updater‘ y ‘Mozilla Maintenance Service‘ y el último solventa un fallo en la biblioteca ‘Cairo‘ con el que se podría ejecutar código arbitrario.

Los cuatro boletines restantes (MFSA 2013-40, MFSA 2013-39, MFSA 2013-37, MFSA 2013-33) tienen un impacto medio. El primero se trata de una lectura fuera de límites en un vector, el segundo una corrupción de memoria a través del renderizado de imágenes PNG, el tercero permitiría la revelación de información sensible (cuyo vector de ataque está relacionado con el uso de pestañas) y el cuarto permitiría un acceso no autorizado (de lectura y escritura) a la carpeta ‘app_tmp‘ en dispositivos Android.

La nueva versión está disponible a través del sitio oficial de descargas de Firefox: http://www.mozilla.org/es-ES/firefox/new/

Por otra parte, cabe señalar que ocho de los boletines publicados (MFSA 2013-40, MFSA 2013-38, MFSA 2013-36, MFSA 2013-35, MFSA 2013-34, MFSA 2013-32, MFSA 2013-31 y MFSA 2013-30) también afectan a Thunderbird  y SeaMonkey, por lo que se han publicado las versiones 17.0.5 y 2.17 de ambos productos.