CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

03/12/2014

Mozilla publica Firefox 34 y corrige nueve nuevas vulnerabilidades

Mozilla ha anunciado la publicación de la versión 34 de Firefox, junto con ocho boletines de seguridad destinados a solucionar nueve vulnerabilidades en el propio navegador y el gestor de correo Thunderbird.

Riesgo: Crítico
Entre las mejoras incluidas en Firefox 34 destaca la inclusión de videoconferencias con Firefox Hello desde el propio navegador, un nuevo cuadro de búsquedas, mayor personalización, acceso a WebIDE para desarrolladores y se ha desactivado SSLv3.
Por otra parte, se han publicado ocho boletines de seguridad (tres de ellos considerados críticos y tres de nivel alto y dos moderados) que corrigen nueve nuevas vulnerabilidades en los diferentes productos Mozilla. También se han publicado las versiones Firefox ESR 31.3 y Thunderbird 31.3 que solucionan estas vulnerabilidades.
MFSA 2014-83Boletín considerado crítico por diversos problemas de corrupción de memoria en el motor del navegador (CVE-2014-1587CVE-2014-1588).
MFSA 2014-84Soluciona una vulnerabilidad de gravedad moderada por la que se pueden manipular bindings XBL a través de hojas de estilo CSS (CVE-2014-1589).
MFSA 2014-85Boletín de carácter moderado, corrige una vulnerabilidad de denegación de servicio a través de XMLHttpRequest(CVE-2014-1590).
MFSA 2014-86Soluciona una vulnerabilidad considerada de gravedad alta de obtención de información sensible (como nombres de usuario o tokens single-sign-on) a través de reportes de violación CSP (Content Security Policy) (CVE-2014-1591).
MFSA 2014-87Soluciona una vulnerabilidad crítica por un uso después de liberar memoria en el tratamiento de HTML5 (CVE-2014-1592).
MFSA 2014-88Corrige una vulnerabilidad de gravedad crítica por un desbordamiento de búfer durante el tratamiento de contenido multimedia (CVE-2014-1593).
MFSA 2014-89Soluciona una vulnerabilidad considerada de gravedad alta que podría permitir a una aplicación evitar la política de mismo origen (CVE-2014-1594).
MFSA 2014-90Corrige una vulnerabilidad de gravedad alta en OS X 10.10 (Yosemite) por la grabación de datos de autenticación en el directorio /tmp (CVE-2014-1595).
Sistemas Afectados:

Firefox, Thunderbird.

Referencias:

CVE-2014-1587, CVE-2014-1588, CVE-2014-1589, CVE-2014-1590, CVE-2014-1591, CVE-2014-1592, CVE-2014-1593, CVE-2014-1594, CVE-2014-1595

Solución:
La nueva versión está disponible a través del sitio oficial de descargas de Firefox:http://www.mozilla.org/es-ES/firefox/new/
Notas:
Miscellaneous memory safety hazards (rv:34.0 / rv:31.3)
https://www.mozilla.org/es-ES/security/advisories/mfsa2014-83/
XBL bindings accessible via improper CSS declarations
https://www.mozilla.org/es-ES/security/advisories/mfsa2014-84/
XMLHttpRequest crashes with some input streams
https://www.mozilla.org/es-ES/security/advisories/mfsa2014-85/
CSP leaks redirect data via violation reports
https://www.mozilla.org/es-ES/security/advisories/mfsa2014-86/
Use-after-free during HTML5 parsing
https://www.mozilla.org/es-ES/security/advisories/mfsa2014-87/
Buffer overflow while parsing media content
https://www.mozilla.org/es-ES/security/advisories/mfsa2014-88/
Bad casting from the BasicThebesLayer to BasicContainerLayer
https://www.mozilla.org/es-ES/security/advisories/mfsa2014-89/
Apple CoreGraphics framework on OS X 10.10 logging input data to /tmp directory
https://www.mozilla.org/es-ES/security/advisories/mfsa2014-90/
Fuente: Hispasec una-al-día

CSIRT-CV