miércoles, 27 de agosto de 2014

Microsoft vuelve a publicar la actualización MS14-045

El pasado 15 de agosto Microsoft eliminó, y hasta recomendó la desinstalación del parche MS14-045 (publicado dentro del conjunto de boletines de seguridad de agosto). Ahora publica una nueva versión de esta actualización, con todos los problemas que motivaron su retirada ya corregidos.

Microsoft retiró la actualización MS14-045 del "Download Center" y recomendó a todos los usuarios desinstalar este parche. Todo indicaba que muchos usuarios habían sufrido la "pantalla azul de la muerte" tras la instalación de la actualización MS14-045.

Microsoft republica el boletín MS14-045 con lo que reemplaza la actualización 2982791 con la 2993651 para todas las versiones soportadas de Windows. De esta forma, según afirma Microsoft, esta nueva actualización soluciona todos los problemas que motivaron la retirada de la original.

Microsoft recomienda a todos los usuarios instalar la actualización 2993651, que reemplaza a la caducada 2982791. Igualmente recomienda a los usuarios que aun no hayan desinstalado la actualización original, hacerlo antes de aplicar la nueva.
  
Este boletín está calificado como "importante" y soluciona tres vulnerabilidades (CVE-2014-0318, CVE-2014-1819 y CVE-2014-4064) en los controladores modo kernel que podrían permitir a un usuario elevar sus privilegios en el sistema. Afecta a sistemas Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8 (y 8.1) y Windows Server 2012.

Más información:

una-al-dia (17/08/2014) Microsoft recomienda desinstalar la actualización MS14-045

MS14-045: Description of the security update for kernel-mode drivers: August 12, 2014

Microsoft Security Bulletin MS14-045 - Important
Vulnerabilities in Kernel-Mode Drivers Could Allow Elevation of Privilege (2984615)

una-al-dia (12/08/2014) Boletines de seguridad de Microsoft de agosto


Antonio Ropero

Twitter: @aropero

martes, 26 de agosto de 2014

Google publica Chrome 37 y corrige 50 vulnerabilidades

Google sigue imparable con Chrome, su ritmo de actualizaciones es realmente notable. A mediados de julio publicaba Chrome 36, y poco más de un mes después anuncia la nueva versión 37 del navegador. Se publica la versión 37.0.2062.94 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 50 nuevas vulnerabilidades.

Según el aviso de Google se ha mejorado el aspecto de las fuentes en Windows con el soporte de DirectWrite, se ha renovado el gestor de contraseñas, se han incorporado nuevas aplicaciones y APIs así como numerosos cambios en la estabilidad y rendimiento.

La actualización incluye la corrección de 50 nuevas vulnerabilidades. Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. En esta ocasión, aunque se han solucionado 50 vulnerabilidades, solo se facilita información de nueve de ellas.

Una combinación de fallos en V8, IPC, sync, y extensiones podría permitir la ejecución remota de código fuera de la sandbox (CVE-2014-3176 y CVE-2014-3177). Vulnerabilidades por uso después de liberar memoria en SVG (CVE-2014-3168), en DOM (CVE-2014-3169) y en bindings (CVE-2014-3171).

Otras vulnerabilidades permiten la falsificación de cuadro de diálogo de permisos (CVE-2014-3170), unproblema relacionado con la depuración de extensiones (CVE-2014-3172) y fallos por memoria sin inicializar en WebGL (CVE-2014-3173) y en WebAudio (CVE-2014-3174).

También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2014-3175). Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 51.000 dólares en recompensas a los descubridores de los problemas.

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados.

Más información:

Stable Channel Update

una-al-dia (17/07/2014) Google anuncia lanza Chrome 36 y corrige 26 vulnerabilidades


Antonio Ropero
Twitter: @aropero