Mozilla publica Firefox 44 y corrige 17 nuevas vulnerabilidades

firefox-cortHace poco más de un mes que Mozilla publicó la versión 43 de su navegador. Ahora acaba de publicar una nueva versión que incorpora nuevas funcionalidades y mejoras.

Entre las novedades cabe señalar la eliminación del soporte del cifrado RC4, y el uso de certificados firmados SHA-256 de acuerdo a los nuevos requisitos de cifrado.

También publica Firefox ESR 38.6 (versión de soporte extendido) destinada a grupos que despliegan y mantienen un entorno de escritorio en grandes organizaciones como universidades, escuelas, gobiernos o empresas.

Por otra parte, se han publicado los primeros 12 boletines de seguridad del año (del MSFA-2015-001 al MSFA-2015-012). Tres de ellos están considerados críticos, dos de gravedad alta, seis moderados y uno de nivel bajo. En total se corrigen 17 nuevas vulnerabilidades en Firefox.

Las vulnerabilidades críticas residen en dos problemas (CVE-2016-1930 y CVE-2016-1931) de tratamiento de memoria en el motor del navegador que podrían permitir la ejecución remota de código. Otro fallo por un desbordamiento de búfer en WebGL (CVE-2016-1935) y tres problemas debido a manipulaciones inseguras de memoria encontradas a través de revisión de código (CVE-2016-1944, CVE-2016-1945 y CVE-2016-1946).

Además, también se han corregido otras vulnerabilidades de gravedad alta como un problema en cálculos con mp_div y mp_exptmod en Network Security Services (NSS) que puede producir resultados erróneos en diversas circunstancias. Como estas funciones se emplean en cálculos criptográficos pueden dar lugar a debilidades criptográficas (CVE-2016-1938). Dos vulnerabilidades (CVE-2016-1943 y CVE-2016-1942) que podrían permitir la falsificación de la barra de direcciones.

Otros problemas corregidos consisten en una denegación de servicio en el tratamiento de imágenes GIF específicamente creadas (CVE-2016-1933), debido a un problema introducido en Firefox 43 quedaba desactivado el servicio Application Reputation por lo que no se alertaba de descargas potencialmente maliciosas (CVE-2016-1947), una falsificación de la barra de direcciones en Firefox para Android (CVE-2016-1940) y un fallo en OS X debido a un retardo insuficiente entre los diálogos de descarga (CVE-2016-1941).

Puede descargar la nueva versión desde: http://www.mozilla.org/es-ES/firefox/new/

Fuente: hispasec

Comparte esto en:

Tags: , , , , , , ,

Deja un Comentario