Mozilla
ha anunciado la publicación de la versión 48 de Firefox, junto con 23
boletines de seguridad destinados a solucionar 24 nuevas vulnerabilidades
en el navegador. También se ha publicado Firefox ESR 45.3.
Hace menos de dos meses que
Mozilla publicó
la versión 47 de su navegador. Ahora acaba de publicar una nueva versión
que incorpora nuevas funcionalidades y mejoras. Cabe destacar que a partir de esta
versión no se permite la carga de Add-ons que no estén verificados y firmados por
Mozilla, con lo que se pretende evitar la ejecución de Add-ons maliciosos. También
se ha
mejorado la protección de descargas añadiendo dos tipos de descargas "software potencialmente peligroso"
y "descargas poco habituales".
Por otra parte, se han publicado 23 boletines de
seguridad (del MSFA-2016-062 al MSFA-2016-084). Según la propia clasificación
de Mozilla, solo tres de ellos están considerados críticos, siete son de
gravedad alta, 11 de moderada y los dos restantes de nivel bajo. En total se
corrigen 24 nuevas vulnerabilidades en
Firefox.
13 de los boletines publicados también
afectan a Firefox
ESR 45.3; versión de soporte extendido especialmente destinada a grupos que
despliegan y mantienen un entorno de escritorio en grandes organizaciones como
universidades, escuelas, gobiernos o empresas.
Las vulnerabilidades críticas
residen en usos después de liberar en Service
Workers con eventos nested sync (CVE-2016-5259)
y en WebRTC
(CVE-2016-5258),
así como dos problemas (CVE-2016-2835
y CVE-2016-2836)
de tratamiento
de memoria en el motor del navegador que podrían permitir la ejecución
remota de código.
Las vulnerabilidades de gravedad
alta residen en que un servidor remoto puede mantener abierta la conexión de
red favicon
incluso después de que la página se haya cerrado (CVE-2016-2830),
un desbordamiento de búfer en la generación de gráficos SVG
con contendido direccional (CVE-2016-2838),
un subdesbordamiento de búfer en el cálculo de regiones a recortar en gráficos
2D (CVE-2016-5252),
un desbordamiento de entero en WebSockets
(CVE-2016-5261),
un desbordamiento
de búfer en ClearKey Content Decryption Module (CDM) durante la
reproducción de vídeo (CVE-2016-2837),
una confusión
de tipos en la transformación de visualización durante la generación de
gráficos (CVE-2016-5263)
y un uso de memoria después de liberarla al aplicar
efectos a elementos SVG (CVE-2016-5264).
La nueva versión está disponible
a través del sitio oficial de descargas de Firefox:
o desde la actualización del
navegador en "Ayuda/Acerca de
Firefox".
Más información:
Firefox Notes
Version 48.0
Mozilla Foundation Security Advisories
una-al-dia (07/06/2016) Mozilla publica Firefox 47 y corrige
14 nuevas vulnerabilidades
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario