CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

03/12/2014

Mozilla publica Firefox 34 i corregix nou noves vulnerabilitats

Mozilla ha anunciat la publicació de la versió 34 de Firefox, junt amb huit butlletins de seguretat destinats a solucionar nou vulnerabilitats en el mateix navegador i el gestor de correu Thunderbird.

Risc: Crític

Entre les millores incloses en Firefox 34 destaca la inclusió de videoconferències amb Firefox Hello des del mateix navegador, un nou quadro de busques, major personalització, accés a WebIDE per a desenvolupadors i s’ha desactivat SSLv3.

D’altra banda, s’han publicat huit butlletins de seguretat (tres dels quals considerats crítics i tres de nivell alt i dos moderats) que corregixen nou noves vulnerabilitats en els diferents productes Mozilla. També s’han publicat les versions Firefox ESR 31.3 i Thunderbird 31.3 que solucionen estes vulnerabilitats.

MFSA 2014-83: butlletí considerat crític per diversos problemes de corrupció de memòria en el motor del navegador (CVE-2014-1587 i CVE-2014-1588).
MFSA 2014-84: soluciona una vulnerabilitat de gravetat moderada per la qual es poden manipular vinculacions XBL a través de fulls d’estil CSS (CVE-2014-1589).
MFSA 2014-85: butlletí de caràcter moderat, corregix una vulnerabilitat de denegació de servici a través de XMLHttpRequest (CVE-2014-1590).
MFSA 2014-86: soluciona una vulnerabilitat considerada de gravetat alta d’obtenció d’informació sensible (com a noms d’usuari o tokens single-sign-on) a través de reports de violació CSP (Content Security Policy) (CVE-2014-1591).
MFSA 2014-87: soluciona una vulnerabilitat crítica per a un ús després d’alliberar memòria en el tractament de HTML5 (CVE-2014-1592).
MFSA 2014-88: corregix una vulnerabilitat de gravetat crítica per un desbordament de memòria intermèdia durant el tractament de contingut multimèdia (CVE-2014-1593).
MFSA 2014-89: soluciona una vulnerabilitat considerada de gravetat alta que podria permetre a una aplicació evitar la política de mateix origen (CVE-2014-1594).
MFSA 2014-90: corregix una vulnerabilitat de gravetat alta en OS X 10.10 (Yosemite) per la gravació de dades d’autenticació en el directori /tmp (CVE-2014-1595).

Sistemes Afectats:

Firefox, Thunderbird.

Referències:

CVE-2014-1587, CVE-2014-1588, CVE-2014-1589, CVE-2014-1590, CVE-2014-1591, CVE-2014-1592, CVE-2014-1593, CVE-2014-1594, CVE-2014-1595

Solució:

La nova versió està disponible a través del lloc oficial de descàrregues de Firefox:http://www.mozilla.org/es-ES/firefox/new/

Notes:

Miscellaneous memory safety hazards (rv:34.0 / rv:31.3)
XBL bindings accessible via improper CSS declarations

XMLHttpRequest crashes with some input streams

CSP leaks redirect data via violation reports

Use-after-free during HTML5 parsing

Buffer overflow while parsing media content

Bad casting from the BasicThebesLayer to BasicContainerLayer

Apple CoreGraphics framework on OS X 10.10 logging input data to /tmp directory

Font: Hispasec una-al-día

CSIRT-CV