Mozilla ha anunciado la publicación de la versión 34 de
Firefox, junto con ocho boletines de seguridad destinados a solucionar nueve
vulnerabilidades en el propio navegador y el gestor de correo Thunderbird.
Detalle de la actualiación
- Entre las mejoras incluidas en Firefox 34 destaca la inclusión de videoconferencias con Firefox Hello desde el propio navegador, un nuevo cuadro de búsquedas, mayor personalización, acceso a WebIDE para desarrolladores y se ha desactivado SSLv3.
- Por otra parte, se han publicado ocho boletines de seguridad (tres de ellos considerados críticos y tres de nivel alto y dos moderados) que corrigen nueve nuevas vulnerabilidades en los diferentes productos Mozilla. También se han publicado las versiones Firefox ESR 31.3 y Thunderbird 31.3 que solucionan estas vulnerabilidades.
- MFSA 2014-83: Boletín considerado crítico por diversos problemas de corrupción de memoria en el motor del navegador (CVE-2014-1587 y CVE-2014-1588).
- MFSA 2014-84: Soluciona una vulnerabilidad de gravedad moderada por la que se pueden manipular bindings XBL a través de hojas de estilo CSS (CVE-2014-1589).
- MFSA 2014-85: Boletín de carácter moderado, corrige una vulnerabilidad de denegación de servicio a través de XMLHttpRequest (CVE-2014-1590).
- MFSA 2014-86: Soluciona una vulnerabilidad considerada de gravedad alta de obtención de información sensible (como nombres de usuario o tokens single-sign-on) a través de reportes de violación CSP (Content Security Policy) (CVE-2014-1591).
- MFSA 2014-87: Soluciona una vulnerabilidad crítica por un uso después de liberar memoria en el tratamiento de HTML5 (CVE-2014-1592).
- MFSA 2014-88: Corrige una vulnerabilidad de gravedad crítica por un desbordamiento de búfer durante el tratamiento de contenido multimedia (CVE-2014-1593).
- MFSA 2014-89: Soluciona una vulnerabilidad considerada de gravedad alta que podría permitir a una aplicación evitar la política de mismo origen (CVE-2014-1594).
- MFSA 2014-90: Corrige una vulnerabilidad de gravedad alta en OS X 10.10 (Yosemite) por la grabación de datos de autenticación en el directorio /tmp (CVE-2014-1595)
Recomendación
- La nueva versión está disponible a través del sitio oficial de descargas de Firefox: http://www.mozilla.org/es-ES/firefox/new/
- Miscellaneous memory safety hazards (rv:34.0 / rv:31.3) https://www.mozilla.org/es-ES/security/advisories/mfsa2014-83/
- XBL bindings accessible via improper CSS declarations https://www.mozilla.org/es-ES/security/advisories/mfsa2014-84/
- XMLHttpRequest crashes with some input streams https://www.mozilla.org/es-ES/security/advisories/mfsa2014-85/
- CSP leaks redirect data via violation reports https://www.mozilla.org/es-ES/security/advisories/mfsa2014-86/
- Use-after-free during HTML5 parsing https://www.mozilla.org/es-ES/security/advisories/mfsa2014-87/
- Buffer overflow while parsing media content https://www.mozilla.org/es-ES/security/advisories/mfsa2014-88/
- Bad casting from the BasicThebesLayer to BasicContainerLayer https://www.mozilla.org/es-ES/security/advisories/mfsa2014-89/
- Apple CoreGraphics framework on OS X 10.10 logging input data to /tmp directory https://www.mozilla.org/es-ES/security/advisories/mfsa2014-90/