MOZILLA. Lanza Firefox 35 y corrige 10 nuevas vulnerabilidades

Mozilla ha anunciado la publicación de la versión 35 de Firefox, junto con nueve boletines de seguridad destinados a solucionar 10 nuevas vulnerabilidades en el propio navegador, el gestor de correo Thunderbird y la suite SeaMonkey.

Detalle de la actualización

• Firefox 35 entre otras novedades incluye la tienda de aplicaciones Mozilla (Firefox Marketplace), el soporte nativo para H264 (MP4) en Mac OS X Snow Leopard (10.6) y superiores, mejoras en el servicio de videollamadas Hello, reducción del uso de recursos para imágenes escaladas y también se ha actualizado PDF.js a la versión 1.0.907.
• Por otra parte, se han publicado nueve boletines de seguridad (tres de ellos considerados críticos, uno importante, cuatro moderados y un último de gravedad baja) que corrigen 10 nuevas vulnerabilidades en los diferentes productos Mozilla:

1. MFSA 2015-01: Boletín considerado crítico por diversos problemas de corrupción de memoria en el motor del navegador (CVE-2014-8634 y CVE-2014-8635).
2. MFSA 2015-02: Soluciona una vulnerabilidad de gravedad alta debido al uso de memoria sin inicializar en la representación de imágenes (CVE-2014-8637).
3. MFSA 2015-03: Boletín de carácter moderado, que corrige un problema con navigator.sendBeacon() que podría dar permitir ataques Cross-site request forgery (XSRF) (CVE-2014-8638).
4. MFSA 2015-04: Corrige una vulnerabilidad de gravedad de gravedad moderada que podría permitir la inyección de cookies (CVE-2014-8639).
5. MFSA 2015-05: Soluciona una vulnerabilidad de gravedad moderada por una lectura de memoria sin inicializar en Web Audio (CVE-2014-8640).
6. MFSA 2015-06: Soluciona una vulnerabilidad considerada crítica por un uso después de liberar en WebRTC (CVE-2014-1551).
7. MFSA 2015-07: Boletín de carácter alto que permite escapar de la sandbox GMP (Gecko Media Plugin) en sistemas Windows (CVE-2014-8643).
8. MFSA 2015-08: Soluciona un problema de impacto bajo, por un fallo en el reconocimiento de la extensión id-pkix-ocsp-nocheck por OCSP (Online Certificate Status Protocol) (CVE-2014-8642).
9. MFSA 2015-09: Destinado a corregir una vulnerabilidad de gravedad moderada que podría permitir una escalada de privilegios debido a que determinados objetos DOM podrían evitar XrayWrappers (CVE-2014-8636).

Recomendación

• La nueva versión está disponible a través del sitio oficial de descargas de Firefox: http://www.mozilla.org/es-ES/firefox/new/

Más información:

• Una al día (16/01/2015) http://unaaldia.hispasec.com/2015/01/mozilla-publica-firefox-35-y-corrige-10.html

Fuente: Hispasec