Mozilla ha anunciado la publicación de la versión 32 de Firefox, junto con seis boletines de seguridad destinados a solucionar ocho nuevas vulnerabilidades en el propio navegador, del gestor de correo Thunderbird y de la suite SeaMonkey
06-09-2014 - Entre las mejoras incluidas en Firefox 32 destaca la gestión de contraseñas y datos. Se han incluido mejoras en la barra de búsqueda dentro de una página, el Administrador de complementos y una nueva caché http destinada a mejorar la estabilidad y rendimiento del navegador. Como novedad se incluye el soporte de pinning de certificados, lo que permitirá al navegador realizar comprobaciones más estrictas de los certificados y prevenir determinados ataques. Este mecanismo permite a los sitios especificar que autoridades certificadoras han emitido certificados válidos para el sitio y el navegador podrá rechazar conexiones TLS si el certificado no está emitido por una entidad reconocida.
Por otra parte, se han publicado seis boletines de seguridad (tres de ellos considerados críticos y dos de nivel alto y uno moderado) que corrigen ocho nuevas vulnerabilidades en los diferentes productos Mozilla.
MFSA 2014-67: Boletín considerado crítico por diversos problemas de corrupción de memoria en el motor del navegador (CVE-2014-1562, CVE-2014-1553 y CVE-2014-1554)
MFSA 2014-68: Soluciona una vulnerabilidad crítica durante interacciones DOM con SVG (CVE-2014-1563).
MFSA 2014-69: Boletín de carácter alto, corrige un problema por uso de memoria sin inicializar al tratar imágenes GIF específicamente construidas (CVE-2014-1564).
MFSA 2014-70: Soluciona una vulnerabilidad considerada moderada por una lectura fuera de límites en Web Audio (CVE-2014-1565).
MFSA 2014-71: Soluciona una vulnerabilidad considerada de gravedad alta que solo afecta a Firefox para Android, debido a que enlaces "file: " podrían permitir el acceso a archivos de la tarjeta SD
MFSA 2014-72: Corrige una vulnerabilidad de gravedad de gravedad crítica por un uso después de liberar memoria, que podría permitir la ejecución de código arbitrario, al interactuar con la configuración de la dirección del texto (CVE-2014-1567).
La nueva versión está disponible a través del sitio oficial de descargas de Firefox: http://www.mozilla.org/es-ES/firefox/new/
Más información:
Mozilla Foundation Security Advisory 2014-72
Use-after-free setting text directionalityhttps://www.mozilla.org/security/announce/2014/mfsa2014-72.html
Mozilla Foundation Security Advisory 2014-71
Profile directory file access through file: protocolhttps://www.mozilla.org/security/announce/2014/mfsa2014-71.html
Mozilla Foundation Security Advisory 2014-70
Out-of-bounds read in Web Audio audio timelinehttps://www.mozilla.org/security/announce/2014/mfsa2014-70.html
Mozilla Foundation Security Advisory 2014-69
Uninitialized memory use during GIF renderinghttps://www.mozilla.org/security/announce/2014/mfsa2014-69.html
Mozilla Foundation Security Advisory 2014-68
Use-after-free during DOM interactions with SVGhttps://www.mozilla.org/security/announce/2014/mfsa2014-68.html
Mozilla Foundation Security Advisory 2014-67
Miscellaneous memory safety hazardshttps://www.mozilla.org/security/announce/2014/mfsa2014-67.html
Firefox Notes Version 32.0https://www.mozilla.org/en-US/firefox/32.0/releasenotes/
SecurityEngineering / Public Key Pinninghttps://wiki.mozilla.org/SecurityEngineering/Public_Key_Pinning
Antonio Ropero en Hispasec