Mozilla ha anunciado la publicación de la versión 34 de Firefox, junto con ocho boletines de seguridad destinados a solucionar nueve vulnerabilidades en el propio navegador y el gestor de correo Thunderbird.
Entre las mejoras incluidas en Firefox 34 destaca la inclusión de videoconferencias con Firefox Hello desde el propio navegador, un nuevo cuadro de búsquedas, mayor personalización, acceso a WebIDE para desarrolladores y se ha desactivado SSLv3.
Por otra parte, se han publicado ocho boletines de seguridad (tres de ellos considerados críticos y tres de nivel alto y dos moderados) que corrigen nueve nuevas vulnerabilidades en los diferentes productos Mozilla. También se han publicado las versiones Firefox ESR 31.3 y Thunderbird 31.3 que solucionan estas vulnerabilidades.
MFSA 2014-83: Boletín considerado crítico por diversos problemas de corrupción de memoria en el motor del navegador (CVE-2014-1587y CVE-2014-1588).
MFSA 2014-84: Soluciona una vulnerabilidad de gravedad moderada por la que se pueden manipular bindings XBL a través de hojas de estilo CSS (CVE-2014-1589).
MFSA 2014-85: Boletín de carácter moderado, corrige una vulnerabilidad de denegación de servicio a través de
XMLHttpRequest(CVE-2014-1590).MFSA 2014-86: Soluciona una vulnerabilidad considerada de gravedad alta de obtención de información sensible (como nombres de usuario o tokens single-sign-on) a través de reportes de violación CSP (Content Security Policy) (CVE-2014-1591).
MFSA 2014-87: Soluciona una vulnerabilidad crítica por un uso después de liberar memoria en el tratamiento de HTML5 (CVE-2014-1592).
MFSA 2014-88: Corrige una vulnerabilidad de gravedad crítica por un desbordamiento de búfer durante el tratamiento de contenido multimedia (CVE-2014-1593).
MFSA 2014-89: Soluciona una vulnerabilidad considerada de gravedad alta que podría permitir a una aplicación evitar la política de mismo origen (CVE-2014-1594).
MFSA 2014-90: Corrige una vulnerabilidad de gravedad alta en OS X 10.10 (Yosemite) por la grabación de datos de autenticación en el directorio /tmp (CVE-2014-1595).
La nueva versión está disponible a través del sitio oficial de descargas de Firefox: http://www.mozilla.org/es-ES/firefox/new/
Más información:
Miscellaneous memory safety hazards (rv:34.0 / rv:31.3)
XBL bindings accessible via improper CSS declarations
XMLHttpRequest crashes with some input streams
CSP leaks redirect data via violation reports
Use-after-free during HTML5 parsing
Buffer overflow while parsing media content
Bad casting from the BasicThebesLayer to BasicContainerLayer
Apple CoreGraphics framework on OS X 10.10 logging input data to /tmp directory
Antonio Ropero
Twitter: @aropero
Deja una respuesta