Mozilla publica Firefox 32 y corrige ocho nuevas vulnerabilidades

Mozilla ha anunciado la publicación de la versión 32 de Firefox, junto con seis boletines de seguridad destinados a solucionar ocho nuevas vulnerabilidades en el propio navegador, el gestor de correo Thunderbird y la suite SeaMonkey.

Entre las mejoras incluidas en Firefox 32 destaca la gestión de contraseñas y datos. Se han incluido mejoras en la barra de búsqueda dentro de una página, el Administrador de complementos y una nueva caché http destinada a mejorar la estabilidad y rendimiento del navegador. Como novedad se incluye el soporte de "pinning" de certificados, lo que permitirá al navegador realizar comprobaciones más estrictas de los certificados y prevenir determinados ataques. Este mecanismo permite a los sitios especificar que autoridades certificadoras han emitido certificados válidos para el sitio y el navegador podrá rechazar conexiones TLS si el certificado no está emitido por una entidad reconocida.

Por otra parte, se han publicado seis boletines de seguridad (tres de ellos considerados críticos y dos de nivel alto y uno moderado) que corrigen ocho nuevas vulnerabilidades en los diferentes productos Mozilla.

MFSA 2014-67: Boletín considerado crítico por diversos problemas de corrupción de memoria en el motor del navegador (CVE-2014-1562, CVE-2014-1553 y CVE-2014-1554)

MFSA 2014-68: Soluciona una vulnerabilidad crítica durante interacciones DOM con SVG (CVE-2014-1563).

MFSA 2014-69: Boletín de carácter alto, corrige un problema por uso de memoria sin inicializar al tratar imágenes GIF específicamente construidas (CVE-2014-1564).

MFSA 2014-70: Soluciona una vulnerabilidad considerada moderada por una lectura fuera de límites en Web Audio (CVE-2014-1565).

MFSA 2014-71: Soluciona una vulnerabilidad considerada de gravedad alta que solo afecta a Firefox para Android, debido a que enlaces "file: " podrían permitir el acceso a archivos de la tarjeta SD (CVE-2014-1551).

MFSA 2014-72: Corrige una vulnerabilidad de gravedad de gravedad crítica por un uso después de liberar memoria, que podría permitir la ejecución de código arbitrario, al interactuar con la configuración de la dirección del texto (CVE-2014-1567).

La nueva versión está disponible a través del sitio oficial de descargas de Firefox: http://www.mozilla.org/es-ES/firefox/new/

Más información:

Mozilla Foundation Security Advisory 2014-72

Use-after-free setting text directionality

https://www.mozilla.org/security/announce/2014/mfsa2014-72.html

Mozilla Foundation Security Advisory 2014-71

Profile directory file access through file: protocol

https://www.mozilla.org/security/announce/2014/mfsa2014-71.html

Mozilla Foundation Security Advisory 2014-70

Out-of-bounds read in Web Audio audio timeline

https://www.mozilla.org/security/announce/2014/mfsa2014-70.html

Mozilla Foundation Security Advisory 2014-69

Uninitialized memory use during GIF rendering

https://www.mozilla.org/security/announce/2014/mfsa2014-69.html

Mozilla Foundation Security Advisory 2014-68

Use-after-free during DOM interactions with SVG

https://www.mozilla.org/security/announce/2014/mfsa2014-68.html

Mozilla Foundation Security Advisory 2014-67

Miscellaneous memory safety hazards

https://www.mozilla.org/security/announce/2014/mfsa2014-67.html

Firefox Notes Version 32.0

https://www.mozilla.org/en-US/firefox/32.0/releasenotes/

SecurityEngineering / Public Key Pinning

https://wiki.mozilla.org/SecurityEngineering/Public_Key_Pinning

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero