Mozilla publica Firefox 48 y corrige 24 nuevas vulnerabilidades
jueves, 4 de agosto de 2016
Mozilla ha anunciado la publicación de la versión 48 de Firefox, junto con 23 boletines de seguridad destinados a solucionar 24 nuevas vulnerabilidades en el navegador. También se ha publicado Firefox ESR 45.3.
Hace menos de dos meses que Mozilla publicó la versión 47 de su navegador. Ahora acaba de publicar una nueva versión que incorpora nuevas funcionalidades y mejoras. Cabe destacar que a partir de esta versión no se permite la carga de Add-ons que no estén verificados y firmados por Mozilla, con lo que se pretende evitar la ejecución de Add-ons maliciosos. También se ha mejorado la protección de descargas añadiendo dos tipos de descargas «software potencialmente peligroso» y «descargas poco habituales«.
Por otra parte, se han publicado 23 boletines de seguridad (del MSFA-2016-062 al MSFA-2016-084). Según la propia clasificación de Mozilla, solo tres de ellos están considerados críticos, siete son de gravedad alta, 11 de moderada y los dos restantes de nivel bajo. En total se corrigen 24 nuevas vulnerabilidades en Firefox.
13 de los boletines publicados también afectan a Firefox ESR 45.3; versión de soporte extendido especialmente destinada a grupos que despliegan y mantienen un entorno de escritorio en grandes organizaciones como universidades, escuelas, gobiernos o empresas.
Las vulnerabilidades críticas residen en usos después de liberar en Service Workers con eventos nested sync (CVE-2016-5259) y en WebRTC (CVE-2016-5258), así como dos problemas (CVE-2016-2835 y CVE-2016-2836) de tratamiento de memoria en el motor del navegador que podrían permitir la ejecución remota de código.
Las vulnerabilidades de gravedad alta residen en que un servidor remoto puede mantener abierta la conexión de red favicon incluso después de que la página se haya cerrado (CVE-2016-2830), un desbordamiento de búfer en la generación de gráficos SVG con contendido direccional (CVE-2016-2838), un subdesbordamiento de búfer en el cálculo de regiones a recortar en gráficos 2D (CVE-2016-5252), un desbordamiento de entero en WebSockets (CVE-2016-5261), un desbordamiento de búfer en ClearKey Content Decryption Module (CDM) durante la reproducción de vídeo (CVE-2016-2837), una confusión de tipos en la transformación de visualización durante la generación de gráficos (CVE-2016-5263) y un uso de memoria después de liberarla al aplicar efectos a elementos SVG (CVE-2016-5264).
La nueva versión está disponible a través del sitio oficial de descargas de Firefox:
http://www.mozilla.org/es-ES/firefox/new/
o desde la actualización del navegador en «Ayuda/Acerca de Firefox«.
Más información:
Firefox Notes
Version 48.0
https://www.mozilla.org/en-US/firefox/48.0/releasenotes/
Mozilla Foundation Security Advisories
https://www.mozilla.org/en-US/security/advisories/
una-al-dia (07/06/2016) Mozilla publica Firefox 47 y corrige 14 nuevas vulnerabilidades
http://unaaldia.hispasec.com/2016/06/mozilla-publica-firefox-47-y-corrige-14.html
Antonio Ropero
Twitter: @aropero
