lunes, 31 de agosto de 2015

Boletines de seguridad para Mozilla Firefox

La Fundación Mozilla ha publicado dos boletines de seguridad que corrigen sendas vulnerabilidades en su navegador Firefox.

El primer boletín, MFSA2015-94, de importancia crítica, resuelve un error de uso de memoria tras liberación en 'CanvasRenderingContext2D' que podría permitir la ejecución de código remoto. Esta vulnerabilidad descubierta por Jean-Max Reymond (miembro de la comunidad Mozilla) y Ucha Gobejishvili (Zero Day Initiative), tiene asignado el identificador CVE-2015-4497.

El boletín MFSA2015-95 con un nivel de importancia alta, corrige un fallo en el instalador de complementos o extensiones que podría permitir la instalación de add-ons desde una fuente diferente a la esperada. Esto permitiría eludir restricciones de seguridad y engañar al usuario para instalar un complemento malicioso. Este error ha sido descubierto por Bas Venis y se le ha asignado el identificador CVE-2015-4498.

La versión 40.0.3 de Firefox, que corrige las vulnerabilidades anteriormente comentadas, se encuentra disponible para su descarga a través de los canales habituales o mediante las actualizaciones automáticas.

Más información:

Mozilla Foundation Security Advisory 2015-94

Mozilla Foundation Security Advisory 2015-95
  


Juan José Ruiz

domingo, 30 de agosto de 2015

Actualización de seguridad para Adobe ColdFusion

Adobe ha publicado una actualización destinada a solucionar una vulnerabilidad importante en ColdFusión, que podría permitir la obtención de información sensible.

En el boletín de seguridad APSB15-21 de Adobe, se recoge una actualización para ColdFusion versiones 11 y 10. Este parche está destinado a corregir un problema en el tratamiento de entidades externas XML en BlazeDS que podría permitir la obtención de información sensible (CVE-2015-3269).

Se recomienda a los usuarios actualicen sus productos según las instrucciones proporcionadas por Adobe:
ColdFusion 11:
ColdFusion 10:

Customers should also apply the security configuration settings as outlined on the ColdFusion Security page as well as review the ColdFusion 11 Lockdown Guide and ColdFusion 10 Lockdown Guide.

Los usuarios también deben aplicar la configuración de seguridad indicada en la página de seguridad de ColdFusion, así como revisar los documentos ColdFusion 11 Lockdown Guide y ColdFusion 10 Lockdown Guide.

Más información:

Security Update: Hotfix available for ColdFusion

CVE-2015-3269: Apache Flex BlazeDS XXE Vulnerabilty



Antonio Ropero

Twitter: @aropero