La Fundación Mozilla ha publicado dos boletines de
seguridad considerados críticos (MFSA 2016-94 y MFSA 2016-95) destinados a
corregir 13 vulnerabilidades en el navegador Firefox y otras 10 en la versión
ESR de soporte extendido.
Se han publicado las versiones Firefox 50.1 y Firefox ESR
45.6. Centrándonos en el navegador Firefox, según la propia clasificación de
Mozilla de las 13 vulnerabilidades corregidas cuatro vulnerabilidades están
consideradas críticas, 6 de gravedad alta y 3 moderada.
Los problemas críticos residen en un desbordamiento de
búfer en SkiaGL (CVE-2016-9894), un uso de memoria después de liberarla
mientras se manipulan eventos DOM y elementos de audio (CVE-2016-9899),
problemas de corrupción de memoria en Firefox que podrían permitir la ejecución
remota de código (CVE-2016-9080) y de forma similar, múltiples problemas de
corrupción de memoria en Firefox y Firefox ESR que igualmente podrían permitir
la ejecución remota de código (CVE-2016-9893).
Las vulnerabilidades consideradas de gravedad alta,
consisten en un uso de memoria después de liberarla en el Editor mientras se
manipulan subárboles DOM (CVE-2016-9898), imágenes SVG permiten la carga de
recursos externos restringidos a través de URLs data: (CVE-2016-9900) y una
fuga de información en atoms compartidos (CVE-2016-9904).
Se han publicado las versiones Firefox 50.1 y Firefox ESR
45.6, disponibles para su descarga a través de los canales habituales o
mediante las actualizaciones automáticas.
Más información:
- Mozilla
Foundation Security Advisory 2016-94. Security vulnerabilities fixed in
Firefox 50.1. https://www.mozilla.org/en-US/security/advisories/mfsa2016-94/
- Mozilla
Foundation Security Advisory 2016-95. Security vulnerabilities fixed in
Firefox ESR 45.6. https://www.mozilla.org/en-US/security/advisories/mfsa2016-95/
- 50.1.0 Firefox
Release. https://www.mozilla.org/en-US/firefox/50.1.0/releasenotes/