Mozilla atualiza Firefox e corrige 15 vulnerabilidades, 6 críticas

Empresa acrescenta também o recurso click-to-play, que exige autorização do usuário para rodar plug-ins, além de correção para uso de memória

A Mozilla liberou na semana passada o Firefox 26, que deu início a uma forma limitada da função click-to-play e corrigiu 15 vulnerabilidades de segurança – seis das quais foram identificadas como "crítico".
 
O "click-to-play" – um recurso de segurança que requer que os usuários autorizem o uso de um plug-in quando um elemento em um site ou página solicitá-lo – tem sido adotado por outros navegadores como proteção contra a crescente onda de malware que se aproveita de brechas em plug-ins (particularmente do Flash Player e do Java). O Chrome, por exemplo, há algum tempo oferece o recurso, embora ele seja desabilitado por padrão.
 
Em janeiro de 2013, a Mozilla anunciou que exigiria o click-to-play para todos os plug-ins instalados – exceto para o Flash – então, mais tarde, adicionou o recurso na versão beta e para desenvolvedores do Firefox 26.
 
Mas, quando foi lançado, apenas o plug-in do Java necessitava da autorização (todos os outros plug-ins rodavam automaticamente). A Mozilla não respondeu imediatamente às perguntas, mas discussões em grupos da empresa deram a entender que o recurso caiu porque os desenvolvedores queriam fazer mais testes com outros plug-ins antes de expandir a sua funcionalidade.
 
Gerenciamento de memória
 
O Firefox 26 também vem acompanhado pelo "MemShrink", um projeto de dois anos desenvolvido para reduzir o consumo de memória do navegador, que tem como foco acabar com as "falhas" criadas quando o código não libera corretamente a memória depois de uma tarefa concluída. 
 
Reclamações sobre o uso da memória pelo Firefox são historicamente centradas no hábito do navegador de não liberar a memória quando as abas são fechadas. Tal memória nunca é devolvida para o conjunto, reduzindo o que está disponível para outras aplicações, ou até mesmo para o próprio Firefox – e o desempenho é que sofre.
 
Em um post no seu blog pessoal, Nicolas Nethercote, o desenvolvedor que liderou o "MemShrink", disse que o projeto tinha sido concluído. Anteriormente, Nethercote havia elogiado algumas correções de bugs que focam incluídas no Firefox 26, que reduziram os picos de uso de memória e melhoravam o tempo de carregamento de páginas com imagens pesadas.
 
Brechas
 
Juntamente com a estreia do click-to-play e com o MemShrink, a Mozilla também corrigiu 15 vulnerabilidades no Firefox 26. Seis dos patches foram identificados como "crítico", o ranking mais alto dentre as classificações de ameaças da Mozilla.
 
Entre as vulnerabilidades críticas estavam vários bugs "use-after-free", um tipo de falha de gerenciamento de memória. Uma delas foi relatada por Nils, um pesquisador alemão que se identifica apenas por seu primeiro nome. 
 
Nils é um pesquisador reconhecido, que ganhou 100 mil dólares (juntamente com outro pesquisador) em março por hackear o Google Chrome no concurso Pwn2Own.
 
O Firefox 26 já está disponível para download no site da Mozilla para as versões Windows, Mac e Linux. Os usuários que já possuem o navegador instalado na máquina receberão a atualização automaticamente.
 
Os usuários do Firefox para Android podem obter o update diretamente na Google Play. 
 
A próxima versão do Firefox está programada para ser lançada em 4 de fevereiro. A versão depois disso (o Firefox 28) está programada para 14 de março e será a primeira a ter a nova interface de usuário (UI), apelidada de "Australis", que a Mozilla tem trabalhado desde maio de 2012.
 
Fonte:  UOL IDGNow!