Solo tres días después de publicar Firefox 37, se publica una
actualización a la versión 37.0.1. En esta ocasión la Fundación Mozilla ha
publicado dos boletines de seguridad que corrigen otras tantas vulnerabilidades
(una crítica y otra de gravedad alta) que afectan a su navegador web.
Detalle de la actualización
- MFSA 2015-44: Actualización crítica para solucionar una vulnerabilidad (CVE-2015-0799) en la implementación HTTP Alternative Services. Si se especifica una cabecera Alt-Svc en la respuesta HTTP/2, se puede evitar la verificación de certificado para el servidor alternativo especificado. Esto podría permitir la falsificación de un sitio web mediante la realización de ataques hombre en el medio.
- MFSA 2015-43: Un fallo (CVE-2015-0798) en el modo lectura ("Reader mode") en Firefox para Android. El error reportado reside en que las URLs privilegiadas se pueden pasar al modo lectura y eludir las restricciones normales que impiden a las páginas web la obtención de referencias a contextos privilegiados. Si este problema se combina con otro que permita una violación de la política de mismo origen, entonces la combinación resultante podría permitir la ejecución de código arbitrario.
- Las nueva versión de Firefox se encuentra disponible para su descarga a través de los canales habituales o mediante las actualizaciones automáticas.
- Mozilla Foundation Security Advisory 2015-44. Certificate verification bypass through the HTTP/2 Alt-Svc header. https://www.mozilla.org/en-US/security/advisories/mfsa2015-44/
- Mozilla Foundation Security Advisory 2015-43. Loading privileged content through Reader mode. https://www.mozilla.org/en-US/security/advisories/mfsa2015-43/