Mozilla ha anunciado la publicación de la versión 52 de
Firefox, que además de incluir mejoras y novedades soluciona 28 nuevas
vulnerabilidades en el navegador. También se ha publicado Firefox ESR 45.8.
Mozilla acaba de publicar una nueva versión de su navegador
que incorpora nuevas funcionalidades y mejoras. Cabe destacar el soporte de
WebAssembly, un nuevo estándar de programación web que proporciona un mayor
rendimiento a juegos, aplicaciones y bibliotecas de software sin necesidad de
plugins. Se ha implementado la especificación Strict Secure Cookies, una
política que prohíbe a los sitios web HTTP establecer cookies con el atributo
'secure'.
Detalle de la actualización
- Firefox sigue mejorando la forma en que el navegador informa a los usuarios de
que se encuentran en un sitio web con conexión no cifrada. Se ha agregado
una advertencia al usuario en las páginas HTTP no seguras que incluyan
inicios de sesión. En estos casos Firefox muestra el mensaje "Esta
conexión no es segura" cuando el usuario pulse en los campos de
nombre de usuario y contraseña en páginas que no utilicen HTTPS.
- El boletín MSFA-2017-05 incluye las 28
vulnerabilidades corregidas. Según la propia clasificación de Mozilla
siete están consideradas críticas, cuatro son de gravedad alta, 11 de
moderada y las seis restantes de nivel bajo.
- Las vulnerabilidades críticas residen en que a
través de JIT-spray con asm.js puede permitir un salto de las protecciones
ASLR y DEP que conllevan a posibles ataques de corrupción de memoria
(CVE-2017-5400), una corrupción de memoria al tratar ErrorResult
(CVE-2017-5401). También por usos de memoria después de liberarla al
trabajar con eventos en objetos FontFace (CVE-2017-5402), al usar addRange
al añadir a un objeto raíz incorrecto (CVE-2017-5403) o al tratar con
rangos en selecciones (CVE-2017-5404). Así como problemas (CVE-2017-5399 y
CVE-2017-5398) de corrupción de memoria en el motor del navegador que
podrían permitir la ejecución remota de código.
- También se ha publicado Firefox ESR 45.8
(MSFA-2017-06) que soluciona 10 vulnerabilidades en esta versión de
soporte extendido especialmente destinada a grupos que despliegan y
mantienen un entorno de escritorio en grandes organizaciones como
universidades, escuelas, gobiernos o empresas.
Recomendacicón
- La nueva versión está disponible a través del sitio
oficial de descargas de Firefox http://www.mozilla.org/es-ES/firefox/new/
o desde la actualización del
navegador en "Ayuda/Acerca de Firefox".
- Firefox ESR está disponible desde https://www.mozilla.org/en-US/firefox/organizations/
Más información:
- Firefox Notes. Version
52.0 https://www.mozilla.org/en-US/firefox/52.0/releasenotes/
- Security
vulnerabilities fixed in Firefox 52 https://www.mozilla.org/en-US/security/advisories/mfsa2017-05/
- Security
vulnerabilities fixed in Firefox ESR 45.8 https://www.mozilla.org/en-US/security/advisories/mfsa2017-06/
- Communicating
the Dangers of Non-Secure HTTP https://blog.mozilla.org/security/2017/01/20/communicating-the-dangers-of-non-secure-http/