Mozilla libera Firefox 16.0.1 un día después de retirar la descarga de Firefox 16 debido a un problema de seguridad

Mozilla lanzó Firefox 16.0.1 el jueves con el fin de corregir una vulnerabilidad divulgada públicamente y tres huecos de seguridad detectados después del lanzamiento de Firefox 16.

Mozilla retiró Firefox 16 desde su sitio web el miércoles, un día después de su lanzamiento, debido a una vulnerabilidad que permite a páginas web maliciosas leer las direcciones URL de otros sitios web accedidos por visitantes. Este comportamiento normalmente debería estar prohibido por los mecanismos de seguridad del navegador Web.

El asunto se hizo público por el investigador de seguridad Gareth Heyes el miércoles. Heyes publicó una prueba de concepto que, cuando se carga desde una página web arbitraria, puede determinar el nombre de un usuario que ha iniciado sesión en Twitter.

Mozilla determinó que el problema encontrado por Heyes sólo afecta a Firefox 16.0 y fue corregido en Firefox 16.0.1.

Sin embargo, la nueva versión de Firefox también corrige una vulnerabilidad descubierta por separado por un investigador de seguridad de Mozilla que puede dar lugar a un comportamiento similar. En las versiones de Firefox 15 y anteriores de este segundo problema de seguridad también puede potencialmente provocar la ejecución de código arbitrario.

Sin embargo, Firefox 16.0.1 soluciona dos errores de corrupción de memoria en el motor del navegador que pueden resultar en colisiones y, potencialmente, pueden ser explotados para ejecutar código arbitrario. Uno de estos errores sólo afecta a la versión para Android de Firefox cuando se ejecuta dentro un firmware personalizado de Android como CyanogenMod.

Thunderbird 16.0.1 y SeaMonkey 2.13.1 también fueron liberados el jueves para hacer frente a las mismas vulnerabilidades que fueron corregidas en la versión de escritorio de Firefox.