Una Al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Mozilla publica Firefox 32 y corrige ocho nuevas vulnerabilidades

Mozilla publica Firefox 32 y corrige ocho nuevas vulnerabilidades

Por Deja un comentario

Mozilla ha anunciado la publicación de la versión 32 de Firefox, junto con seis boletines de seguridad destinados a solucionar ocho nuevas vulnerabilidades en el propio navegador, el gestor de correo Thunderbird y la suite SeaMonkey.
Entre las mejoras incluidas en Firefox 32 destaca la gestión de contraseñas y datos. Se han incluido mejoras en la barra de búsqueda dentro de una página, el Administrador de complementos y una nueva caché http destinada a mejorar la estabilidad y rendimiento del navegador. Como novedad se incluye el soporte de «pinning» de certificados, lo que permitirá al navegador realizar comprobaciones más estrictas de los certificados y prevenir determinados ataques. Este mecanismo permite a los sitios especificar que autoridades certificadoras han emitido certificados válidos para el sitio y el navegador podrá rechazar conexiones TLS si el certificado no está emitido por una entidad reconocida.
Por otra parte, se han publicado seis boletines de seguridad (tres de ellos considerados críticos y dos de nivel alto y uno moderado) que corrigen ocho nuevas vulnerabilidades en los diferentes productos Mozilla.
MFSA 2014-67: Boletín considerado crítico por diversos problemas de corrupción de memoria en el motor del navegador (CVE-2014-1562, CVE-2014-1553 y CVE-2014-1554)
MFSA 2014-68: Soluciona una vulnerabilidad crítica durante interacciones DOM con SVG (CVE-2014-1563).
MFSA 2014-69: Boletín de carácter alto, corrige un problema por uso de memoria sin inicializar al tratar imágenes GIF específicamente construidas (CVE-2014-1564).
MFSA 2014-70: Soluciona una vulnerabilidad considerada moderada por una lectura fuera de límites en Web Audio (CVE-2014-1565).
MFSA 2014-71: Soluciona una vulnerabilidad considerada de gravedad alta que solo afecta a Firefox para Android, debido a que enlaces «file: » podrían permitir el acceso a archivos de la tarjeta SD (CVE-2014-1551).
MFSA 2014-72: Corrige una vulnerabilidad de gravedad de gravedad crítica por un uso después de liberar memoria, que podría permitir la ejecución de código arbitrario, al interactuar con la configuración de la dirección del texto (CVE-2014-1567).
La nueva versión está disponible a través del sitio oficial de descargas de Firefox: http://www.mozilla.org/es-ES/firefox/new/
Más información:
Mozilla Foundation Security Advisory 2014-72
Use-after-free setting text directionality
https://www.mozilla.org/security/announce/2014/mfsa2014-72.html
Mozilla Foundation Security Advisory 2014-71
Profile directory file access through file: protocol
https://www.mozilla.org/security/announce/2014/mfsa2014-71.html
Mozilla Foundation Security Advisory 2014-70
Out-of-bounds read in Web Audio audio timeline
https://www.mozilla.org/security/announce/2014/mfsa2014-70.html
Mozilla Foundation Security Advisory 2014-69
Uninitialized memory use during GIF rendering
https://www.mozilla.org/security/announce/2014/mfsa2014-69.html
Mozilla Foundation Security Advisory 2014-68
Use-after-free during DOM interactions with SVG
https://www.mozilla.org/security/announce/2014/mfsa2014-68.html
Mozilla Foundation Security Advisory 2014-67
Miscellaneous memory safety hazards
https://www.mozilla.org/security/announce/2014/mfsa2014-67.html
Firefox Notes Version 32.0
https://www.mozilla.org/en-US/firefox/32.0/releasenotes/
SecurityEngineering / Public Key Pinning
https://wiki.mozilla.org/SecurityEngineering/Public_Key_Pinning
Antonio Ropero
antonior@hispasec.com

Twitter: @aropero

Acerca de Hispasec

Hispasec Ha escrito 7093 publicaciones.

Interacciones con los lectores

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.