La Fundación Mozilla ha publicado dos boletines de seguridad que corrigen sendas vulnerabilidades en su navegador Firefox.
El primer boletín, MFSA2015-94, de importancia crítica, resuelve un error de uso de memoria tras liberación en ‘CanvasRenderingContext2D‘ que podría permitir la ejecución de código remoto. Esta vulnerabilidad descubierta por Jean-Max Reymond (miembro de la comunidad Mozilla) y Ucha Gobejishvili (Zero Day Initiative), tiene asignado el identificador CVE-2015-4497.
El boletín MFSA2015-95con un nivel de importancia alta, corrige un fallo en el instalador de complementos o extensiones que podría permitir la instalación de add-ons desde una fuente diferente a la esperada. Esto permitiría eludir restricciones de seguridad y engañar al usuario para instalar un complemento malicioso. Este error ha sido descubierto por Bas Venis y se le ha asignado el identificador CVE-2015-4498.
La versión 40.0.3 de Firefox, que corrige las vulnerabilidades anteriormente comentadas, se encuentra disponible para su descarga a través de los canales habituales o mediante las actualizaciones automáticas.
Más información:
Mozilla Foundation Security Advisory 2015-94
Mozilla Foundation Security Advisory 2015-95
Juan José Ruiz
