Mozilla
ha anunciado la publicación de la versión 44 de
Firefox, junto con 12 boletines de
seguridad destinados a solucionar 17 nuevas vulnerabilidades en el
navegador.
Hace poco más de un mes que
Mozilla publicó
la versión 43 de su navegador. Ahora acaba de publicar una nueva versión
que incorpora nuevas funcionalidades y mejoras. Entre las novedades cabe señalar
la eliminación del soporte del cifrado RC4, y el uso de certificados firmados
SHA-256 de acuerdo a los nuevos requisitos de cifrado. También publica Firefox
ESR 38.6 (versión de soporte extendido) destinada a grupos que despliegan y
mantienen un entorno de escritorio en grandes organizaciones como
universidades, escuelas, gobiernos o empresas.
Por otra parte, se han publicado los
primeros 12
boletines de seguridad del año (del MSFA-2015-001 al MSFA-2015-012). Tres
de ellos están considerados críticos, dos de gravedad alta, seis moderados y uno
de nivel bajo. En total se corrigen 17
nuevas vulnerabilidades en Firefox.
Las vulnerabilidades críticas
residen en dos problemas (CVE-2016-1930
y CVE-2016-1931)
de tratamiento
de memoria en el motor del navegador que podrían permitir la ejecución
remota de código. Otro fallo por un desbordamiento de búfer en WebGL
(CVE-2016-1935)
y tres problemas debido a manipulaciones
inseguras de memoria encontradas a través de revisión de código (CVE-2016-1944,
CVE-2016-1945
y CVE-2016-1946).
Además, también se han corregido
otras vulnerabilidades de gravedad alta como un problema en cálculos con mp_div
y mp_exptmod en Network
Security Services (NSS) que puede producir resultados erróneos en diversas
circunstancias. Como estas funciones se emplean en cálculos criptográficos
pueden dar lugar a debilidades criptográficas (CVE-2016-1938).
Dos vulnerabilidades (CVE-2016-1943
y CVE-2016-1942)
que podrían permitir la falsificación
de la barra de direcciones.
Otros problemas corregidos
consisten en una denegación de servicio en el tratamiento de imágenes
GIF específicamente creadas (CVE-2016-1933),
debido a un problema introducido en Firefox 43 quedaba desactivado el servicio Application
Reputation por lo que no se alertaba de descargas potencialmente maliciosas
(CVE-2016-1947),
una falsificación de la barra de direcciones en Firefox
para Android (CVE-2016-1940)
y un fallo
en OS X debido a un retardo insuficiente entre los diálogos de descarga (CVE-2016-1941).
La nueva versión está disponible
a través del sitio oficial de descargas de Firefox:
Más información:
Firefox Notes
Version 44.0
Mozilla Foundation Security Advisories
una-al-dia (21/12/2015) Mozilla
publica Firefox 43 y corrige 22 nuevas vulnerabilidades
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario