19 nov. 2016

Firefox 50, más rápido y corrige 28 vulnerabilidades

Mozilla acaba de liberar Firefox 50, la última gran actualización que será lanzada en el año 2016. Los responsables del conocido navegador han pospuesto su lanzamiento en una ocasión para terminar de pulir todos los aspectos clave del mismo.

Esta versión llega después de que la 49 haya tenido un par de actualizaciones menores para corregir diversos problemas y ajustar algunas cosas para un perfecto funcionamiento.

Como siempre, la llegada de la versión 50 a la rama estable del desarrollo, hace que también llegue la 51 a la beta, la 52 a la developer y la 53 a la Nightly. También se ha publicado Firefox ESR 45.5 (MSFA-2016-090); versión de soporte extendido especialmente destinada a grupos que despliegan y mantienen un entorno de escritorio en grandes organizaciones como universidades, escuelas, gobiernos o empresas.

Sin duda, uno de los cambios más sonados pasa por la mejora en la velocidad de carga, inicio o arranque de la aplicación. El retraso en la llegada de esta actualización estuvo relacionado con la detección de un problema que perjudicaba el tiempo de carga. Ahora es mucho más rápido iniciando, aunque siempre depende de las extensiones instaladas. La mejora puede llegar a un 35% en algunos sistemas.

La "nueva" de funcionalidad  del Ctrl +F (ya presente en otros navegadores como Google Chrome) permite buscar palabras o frases que serán resaltadas en la propia web. Otros cambios pasan por un nuevo atajo de teclado para abrir el modo Lectura, cambios en el icono de páginas no seguras o soporte nativo para emojis en Windows y Linux.

Como ya inició en septiembre todos los fallos se engloban en un único boletín, el MSFA-2016-089, que incluye todas las vulnerabilidades corregidas. Según la propia clasificación de Mozilla de las 28 vulnerabilidades corregidas, tres están consideradas críticas, 13 son de gravedad alta, 10 de moderada y las dos restantes de nivel bajo.

Las vulnerabilidades críticas residen en un desbordamiento de búfer en Cairo cuando se procesa contenido SVG (CVE-2016-5296), así como problemas (CVE-2016-5289 y CVE-2016-5290) de corrupción de memoria en el motor del navegador que podrían permitir la ejecución remota de código.

Entre las vulnerabilidades de gravedad alta se incluyen un fallo en la verificación de actualizaciones de un Add-on podría permitir a un atacante que realice un hombre en el medio y que anule la protección de pinning de certificados instalar un add-on malicioso firmado en vez de la actualización válida (CVE-2016-9064).

También una denegación de servicio al tratar una URL específicamente creada (CVE-2016-5292), la falsificación de la URL en la barra de direcciones en Android (CVE-2016-9065), un desbordamiento de búfer en nsScriptLoadHandler (CVE-2016-9066), dos errores por uso de memoria después de liberarla durante operaciones DOM que podrían provocar denegaciones de servicio (CVE-2016-9067 y CVE-2016-9069), una comprobación incorrecta de la longitud de argumentos en JavaScript podría provocar desbordamientos de enteros o problemas de comprobación de límites (CVE-2016-5297).

Fuente: AdslZone | Hispasec

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!