martes, 22 de abril de 2014

Importante actualización para IBM Notes y Domino soluciona más de 80 vulnerabilidades

IBM ha publicado la versión IBM Notes y Domino 9.0.1 Fix Pack 1 que soluciona un total de 88 vulnerabilidades.

Esta actualización incluye las actualizaciones de Oracle Java de octubre de 2013 y enero 2014. La actualización de octubre incluye 51 nuevos parches de seguridad para Java en Notes y Domino, 50 de ellas podrían ser aprovechadas de forma remota sin autenticación. Por otra parte, la actualización de enero contiene la corrección de 36 nuevas vulnerabilidades, 34 de ellas explotables de forma remota sin autenticación.

Es conveniente señalar que mientras esta actualización incluye la actualización de Oracle Java de octubre 2013 y enero 2014, sin embargo Oracle publicó la semana pasada una nueva actualización evidentemente no incluida en esta nueva versión de Notes y Domino.

Por otra parte esta nueva actualización también incluye la corrección de otra vulnerabilidad (con CVE-2014-0892) que podría permitir la ejecución de código en IBM Notes y Domino únicamente en plataformas Linux 32 bits.

IBM Notes y Domino 9.0.1 Fix Pack 1 está disponible para descarga desde:

Estos parches también están planeados para ser incluidos en Notes y Domino 8.5.3 Fix Pack 6 Interim Fix 3.

Más información:

Security Bulletin: IBM Notes & Domino fixes for multiple vulnerabilities (CVE-2014-0892 and Oracle Java Critical Patch Updates for Oct 2013, Jan 2014)

Download Options for Notes & Domino 9.0.1 Fix Packs

una-al-dia (16/04/2014) Oracle corrige 104 vulnerabilidades en su actualización de seguridad de abril


Antonio Ropero
Twitter: @aropero

lunes, 21 de abril de 2014

Apple publica iOS 7.1.1 y soluciona 19 vulnerabilidades

Apple ha liberado la versión iOS 7.1.1 de su sistema operativo para dispositivos móviles. Dicha versión, además de incluir nuevas funcionalidades y mejoras, contiene 19parches a vulnerabilidades, algunas de ellas podrían permitir ejecutar código arbitrario.

Las mejoras incluidas incluyen la implementación de más mejoras en el sistema de reconocimiento de huellas digitales TouchID, la solución de un problema que afectaba a la capacidad de respuesta de los teclados y la corrección de un problema relacionado con el uso de teclados Bluetooth con VoiceOver activado.

Esta nueva versión está disponible para los dispositivos Apple iPhone 4 y posteriores, iPad 2 y posteriores e iPod a partir de 5ª generación.

Por otra parte, el primero de los problemas corregidos (CVE-2014-1296) reside en el tratamiento de las cabeceras http set-cookie que podría permitir a un atacante obtener el valor de la cookie. Un segundo problema (CVE-2014-1320) podría permitir a un usuario local leer punteros del kernel, lo que podría permitir saltar el ASLR (Address Space Layout Randomization) del kernel. Un tercer problema (CVE-2014-1295) podría permitir a un atacante capturar datos o cambiar las operaciones realizadas en sesiones protegidas con SSL. Los 16 problemas restantes residen en WebKit y podrían permitir la ejecución de código arbitrario si un usuario visita una página web maliciosa.

La actualización está disponible a través de iTunes o  del propio dispositivo (en Ajustes/General/Actualización de software).

Más información:

APPLE-SA-2014-04-22-2 iOS 7.1.1


Antonio Ropero
Twitter: @aropero