Mozilla publica Firefox 35 y corrige 10 nuevas vulnerabilidades

Mozilla ha anunciado la publicación de la versión 35 de Firefox, junto con nueve boletines de seguridad destinados a solucionar 10 nuevas vulnerabilidades en el propio navegador, el gestor de correo Thunderbird y la suite SeaMonkey.

Firefox 35 entre otras novedades incluye la tienda de aplicaciones Mozilla (Firefox Marketplace), el soporte nativo para H264 (MP4) en Mac OS X Snow Leopard (10.6) y superiores, mejoras en el servicio de videollamadas Hello, reducción del uso de recursos para imágenes escaladas y también se ha actualizado PDF.js a la versión 1.0.907.

Por otra parte, se han publicado nueve boletines de seguridad (tres de ellos considerados críticos, uno importante, cuatro moderados y un último de gravedad baja) que corrigen 10 nuevas vulnerabilidades en los diferentes productos Mozilla.

MFSA 2015-01: Boletín considerado crítico por diversos problemas de corrupción de memoria en el motor del navegador (CVE-2014-8634 y CVE-2014-8635).

MFSA 2015-02: Soluciona una vulnerabilidad de gravedad alta debido al uso de memoria sin inicializar en la representación de imágenes (CVE-2014-8637).

MFSA 2015-03: Boletín de carácter moderado, que corrige un problema con navigator.sendBeacon() que podría dar permitir ataques Cross-site request forgery (XSRF) (CVE-2014-8638).

MFSA 2015-04: Corrige una vulnerabilidad de gravedad de gravedad moderada que podría permitir la inyección de cookies (CVE-2014-8639).

MFSA 2015-05: Soluciona una vulnerabilidad de gravedad moderada por una lectura de memoria sin inicializar en Web Audio (CVE-2014-8640).

MFSA 2015-06: Soluciona una vulnerabilidad considerada crítica por un uso después de liberar en WebRTC (CVE-2014-1551).

MFSA 2015-07: Boletín de carácter alto que permite escapar de la sandbox GMP (Gecko Media Plugin) en sistemas Windows (CVE-2014-8643).

MFSA 2015-08: Soluciona un problema de impacto bajo, por un fallo en el reconocimiento de la extensión id-pkix-ocsp-nocheck por OCSP (Online Certificate Status Protocol) (CVE-2014-8642).

MFSA 2015-09: Destinado a corregir una vulnerabilidad de gravedad moderada que podría permitir una escalada de privilegios debido a que determinados objetos DOM podrían evitar XrayWrappers (CVE-2014-8636).

La nueva versión está disponible a través del sitio oficial de descargas de Firefox: http://www.mozilla.org/es-ES/firefox/new/

Más información:

Version 35.0, first offered to Release channel users on January 13, 2015

https://www.mozilla.org/en-US/firefox/35.0/releasenotes/

Miscellaneous memory safety hazards (rv:35.0 / rv:31.4)

https://www.mozilla.org/en-US/security/advisories/mfsa2015-01/

Uninitialized memory use during bitmap rendering

https://www.mozilla.org/en-US/security/advisories/mfsa2015-02/

sendBeacon requests lack an Origin header

https://www.mozilla.org/en-US/security/advisories/mfsa2015-03/

Cookie injection through Proxy Authenticate responses

https://www.mozilla.org/en-US/security/advisories/mfsa2015-04/

Read of uninitialized memory in Web Audio

https://www.mozilla.org/en-US/security/advisories/mfsa2015-05/

Read-after-free in WebRTC

https://www.mozilla.org/en-US/security/advisories/mfsa2015-06/

Gecko Media Plugin sandbox escape

https://www.mozilla.org/en-US/security/advisories/mfsa2015-07/

Delegated OCSP responder certificates failure with id-pkix-ocsp-nocheck extension

https://www.mozilla.org/en-US/security/advisories/mfsa2015-08/

XrayWrapper bypass through DOM objects

https://www.mozilla.org/en-US/security/advisories/mfsa2015-09/

Antonio Ropero

antonior@hispasec.com
Twitter: @aropero