Firefox 31 destaca por mejorar considerablemente
la estabilidad del
navegador, e incluir importantes mejorar en la personalización.
Otras novedades incluyen un campo de búsqueda al abrir una nueva pestaña, un
nuevo
verificador de certificados, la reproducción de archivos .ogg y .pdf (en
Windows) si no se especifica otra aplicación,
control
parental, y múltiples mejoras para desarrolladores.
Una importante mejora, relacionada
con la seguridad, es el
bloqueo
automático de descargas de malware, para lo que usa la API de Google de navegación
segura. De esta forma
se comprueban de
forma automática todos los archivos que se descarguen, para evitar la descarga
de archivos maliciosos. Pero siempre que tratamos con un analizador de
malware, sabemos que estamos expuestos a falsos positivos. Por ejemplo, se sabe
que en los últimos días Chrome, el navegador de Google ha bloqueado las
descargas de uTorrent, el popular programa de descargas torrent. En cualquier
caso, a través de la configuración
Firefox permite desactivar la opción de
bloqueo de descargas por malware.
Por otra parte, se han publicado
11 boletines de seguridad (tres de ellos considerados críticos y cinco
importantes) que corrigen 14 nuevas vulnerabilidades en los diferentes
productos Mozilla.
MFSA
2014-56: Boletín considerado crítico por diversos problemas de corrupción
de memoria en el motor del navegador (CVE-2014-1547
y CVE-2014-1548).
MFSA
2014-57: Soluciona una vulnerabilidad de gravedad alta por un
desbordamiento de búfer en la reproducción de Web Audio (CVE-2014-1549).
MFSA
2014-58: Boletín de carácter alto, corrige un problema de uso después de
liberar en Web Audio (CVE-2014-1550).
MFSA
2014-59: Soluciona una vulnerabilidad considerada crítica por un uso
después de liberar en el tratamiento de determinadas fuentes en DirectWrite (CVE-2014-1551).
MFSA
2014-60: Corrige una vulnerabilidad de gravedad de gravedad baja que podría
permitir la falsificación de eventos de personalización de la barra de herramientas
(CVE-2014-1561).
MFSA
2014-61: Boletín de carácter alto por un uso después de liberar en eventos FireOnStateChange
(CVE-2014-1555).
MFSA
2014-62: Soluciona un problema de impacto crítico, por una caída explotable
en WebGL al usar la librería JavaScript Cesium (CVE-2014-1556).
MFSA
2014-63: Destinado a corregir una vulnerabilidad de gravedad alta por un
uso después de liberar al manipular certificados en una cache confiable (CVE-2014-1544).
MFSA
2014-64: Soluciona una vulnerabilidad de importancia alta por una caída en la
librería skia al escalar imágenes de gran calidad (CVE-2014-1557).
MFSA
2014-65: Soluciona tres vulnerabilidades de impacto moderado al tratar
certificados con codificación de caracteres no estándar (CVE-2014-1558,
CVE-2014-1559
y CVE-2014-1560).
MFSA
2014-66: Destinado a corregir una vulnerabilidad de carácter moderado que
puede permitir que la sandbox IFRAME acceda a otros contenidos
(
CVE-2014-1552).
La nueva versión está disponible
a través del sitio oficial de descargas
de Firefox: http://www.mozilla.org/es-ES/firefox/new/
Más información:
First offered to Release channel users on July
22, 2014
https://www.mozilla.org/en-US/firefox/31.0/releasenotes/
Support of Prefer:Safe http header for parental
control
https://blog.mozilla.org/privacy/2014/07/22/prefersafe-making-online-safety-simpler-in-firefox/
Block malware from downloaded files
https://wiki.mozilla.org/Security/Features/Application_Reputation_Design_Doc
Support of Prefer:Safe http header for parental
control
https://blog.mozilla.org/privacy/2014/07/22/prefersafe-making-online-safety-simpler-in-firefox/
MFSA 2014-66 IFRAME sandbox same-origin access
through redirect
https://www.mozilla.org/security/announce/2014/mfsa2014-66.html
MFSA 2014-65 Certificate parsing broken by
non-standard character encoding
https://www.mozilla.org/security/announce/2014/mfsa2014-65.html
MFSA 2014-64 Crash in Skia library when scaling
high quality images
https://www.mozilla.org/security/announce/2014/mfsa2014-64.html
MFSA 2014-63 Use-after-free while when
manipulating certificates in the trusted cache
https://www.mozilla.org/security/announce/2014/mfsa2014-63.html
MFSA 2014-62 Exploitable WebGL crash with
Cesium JavaScript library
https://www.mozilla.org/security/announce/2014/mfsa2014-62.html
MFSA 2014-61 Use-after-free with
FireOnStateChange event
https://www.mozilla.org/security/announce/2014/mfsa2014-61.html
MFSA 2014-60 Toolbar dialog customization event
spoofing
https://www.mozilla.org/security/announce/2014/mfsa2014-60.html
MFSA 2014-59 Use-after-free in DirectWrite font
handling
https://www.mozilla.org/security/announce/2014/mfsa2014-59.html
MFSA 2014-58 Use-after-free in Web Audio due to
incorrect control message ordering
https://www.mozilla.org/security/announce/2014/mfsa2014-58.html
MFSA 2014-57 Buffer overflow during Web Audio
buffering for playback
https://www.mozilla.org/security/announce/2014/mfsa2014-57.html
MFSA 2014-56 Miscellaneous memory safety
hazards (rv:31.0 / rv:24.7)
https://www.mozilla.org/security/announce/2014/mfsa2014-56.html
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero