Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
24/07/2014
Mozilla publica Firefox 31 i corregix 14 noves vulnerabilitats
Mozilla ha anunciat la publicació de la versió 31 de Firefox, junt amb 11 butlletins de seguretat destinats a solucionar 14 noves vulnerabilitats en el mateix navegador, el gestor de correu Thunderbird i la suite SeaMonkey.Firefox 31 destaca per millorar considerablement l’estabilitat del navegador, i incloure importants millores en la personalització. Altres novetats inclouen un camp de busca a l’obrir una nova pestanya, un nou verificador de certificats, la reproducció d’arxius .ogg i .pdf (en Windows) si no s’especifica una altra aplicació, control parental, i múltiples millores per a desenvolupadors.
Una important millora, relacionada amb la seguretat, és el bloqueig automàtic de descàrregues de programari maliciós, per a això usa l’API de Google de navegació segura. D’esta manera es comproven de forma automàtica tots els arxius que es descarreguen, per a evitar la descàrrega d’arxius maliciosos. Però sempre que tractem amb un analitzador de programari maliciós, sabem que estem exposats a falsos positius. Per exemple, se sap que en els últims dies Chrome, el navegador de Google ha bloquejat les descàrregues d’uTorrent, el popular programa de descàrregues torrent. En tot cas, a través de la configuració Firefox permet desactivar l’opció de bloqueig de descàrregues per programari maliciós.
D’altra banda, s’han publicat 11 butlletins de seguretat (tres d’ells considerats crítics i cinc importants) que corregixen 14 noves vulnerabilitats en els diferents productes Mozilla.
MFSA 2014-56: butlletí considerat crític per diversos problemes de corrupció de memòria en el motor del navegador (CVE-2014-1547 i CVE-2014-1548).
MFSA 2014-57: soluciona una vulnerabilitat de gravetat alta per un desbordament de búfer en la reproducció de Web Àudio (CVE-2014-1549).
MFSA 2014-58: butlletí de caràcter alt, corregix un problema d’ús després d’alliberar en Web Àudio (CVE-2014-1550).
MFSA 2014-59: soluciona una vulnerabilitat considerada crítica per un ús després d’alliberar en el tractament de determinades fonts en DirectWrite (CVE-2014-1551).
MFSA 2014-60: corregix una vulnerabilitat de gravetat de gravetat baixa que podria permetre la falsificació d’esdeveniments de personalització de la barra de ferramentes (CVE-2014-1561).
MFSA 2014-61: butlletí de caràcter alt per un ús després d’alliberar en esdeveniments FireOnStateChange (CVE-2014-1555).
MFSA 2014-62: soluciona un problema d’impacte crític, per una caiguda explotable en WebGL a l’usar la llibreria JavaScript Cesium (CVE-2014-1556).
MFSA 2014-63: destinat a corregir una vulnerabilitat de gravetat alta per un ús després d’alliberar al manipular certificats en una trossege confiable (CVE-2014-1544).
MFSA 2014-64: soluciona una vulnerabilitat d’importància alta per una caiguda en la llibreria skia a l’escalar imatges de gran qualitat (CVE-2014-1557).
MFSA 2014-65: soluciona tres vulnerabilitats d’impacte moderat al tractar certificats amb codificació de caràcters no estàndard (CVE-2014-1558, CVE-2014-1559 i CVE-2014-1560).
MFSA 2014-66: destinat a corregir una vulnerabilitat de caràcter moderat que pot permetre que la sandbox IFRAME accedisca a altres continguts (CVE-2014-1552).
Sistemes Afectats:Firefox, Seamonkey, Thunderbird
Referències:CVE-2014-1547, CVE-2014-1548, CVE-2014-1549, CVE-2014-1550, CVE-2014-1551, CVE-2014-1561, CVE-2014-1555, CVE-2014-1556, CVE-2014-1544, CVE-2014-1557, CVE-2014-1558, CVE-2014-1559, CVE-2014-1560, CVE-2014-1552
Solució:La nova versió està disponible a través del lloc oficial de descàrregues de Firefox.
Notes:Hispasec una-al-dia
Firefox 31 Release Notes
Support of Prefer:Safe http header for parental control
Block malware from downloaded files