Mozilla ha anunciado la publicación de la versión 34 de Firefox,
junto con ocho boletines de seguridad destinados a solucionar nueve
vulnerabilidades en el propio navegador, el gestor de correo
Thunderbird.
Entre las mejoras incluidas en
Firefox 34 destaca la inclusión de videoconferencias con
Firefox Hello
desde el propio navegador, un nuevo cuadro de búsquedas, mayor
personalización, acceso a WebIDE para desarrolladores y se ha
desactivado SSLv3.
Por otra parte, se han publicado ocho boletines de seguridad (tres de
ellos considerados críticos y tres de nivel alto y dos moderados) que
corrigen nueve nuevas vulnerabilidades en los diferentes productos
Mozilla. También se han publicado las versiones Firefox ESR 31.3 y
Thunderbird 31.3 que solucionan estas
vulnerabilidades.
- MFSA 2014-83:
Boletín considerado crítico por diversos problemas de corrupción de
memoria en el motor del navegador (CVE-2014-1587 y CVE-2014-1588).
- MFSA 2014-84:
Soluciona una vulnerabilidad de gravedad moderada por la que se pueden
manipular bindings XBL a través de hojas de estilo CSS (CVE-2014-1589).
- MFSA 2014-85: Boletín de carácter moderado, corrige una vulnerabilidad de denegación de servicio a través de XMLHttpRequest (CVE-2014-1590).
- MFSA 2014-86:
Soluciona una vulnerabilidad considerada de gravedad alta de obtención
de información sensible (como nombres de usuario o tokens
single-sign-on) a través de reportes de violación CSP (Content Security
Policy) (CVE-2014-1591).
- MFSA 2014-87: Soluciona una vulnerabilidad crítica por un uso después de liberar memoria en el tratamiento de HTML5 (CVE-2014-1592).
- MFSA 2014-88:
Corrige una vulnerabilidad de gravedad crítica por un desbordamiento de
búfer durante el tratamiento de contenido multimedia (CVE-2014-1593).
- MFSA 2014-89:
Soluciona una vulnerabilidad considerada de gravedad alta que podría
permitir a una aplicación evitar la política de mismo origen
(CVE-2014-1594).
- MFSA 2014-90:
Corrige una vulnerabilidad de gravedad alta en OS X 10.10 (Yosemite)
por la grabación de datos de autenticación en el directorio /tmp
(CVE-2014-1595).
Fuente:
Hispasec