viernes, 18 de abril de 2014

Actualiza a Windows 8.1 Update o no tendrás actualizaciones de seguridad

Recientemente Microsoft ha publicado una actualización importante para Windows 8.1, conocida como Windows 8.1 Update. En un movimiento que pretende conseguir que el mayor número de usuarios se actualicen a la última versión, ha anunciado que dejará de ofrecer actualizaciones de seguridad para sistemas Windows 8.1 que no tengan esta actualización.

Microsoft está dispuesta a que todos los usuarios tengan siempre las últimas versiones de sus sistemas operativos, aunque tiene problemas para conseguirlo, incluso cuando las actualizaciones son gratuitas. Aun en la actualidad hay más sistemas con Windows 8 instalado que con Windows 8.1.

Las actualizaciones Windows 8.1 Update y Windows RT 8.1 Update están disponibles de forma gratuita en Windows Update para los usuarios de Windows 8.1 o Windows RT 8.1. Pero según ha informado Microsoft esta actualización se convierte en una nueva línea base de servicio y soporte. Esto significa que los usuarios que instalen las actualizaciones de forma manual, tendrán 30 días para instalar Windows 8.1 Update. Tras ese periodo de 30 días, y comenzando el martes 13 de mayo (martes de actualizaciones), los dispositivos Windows 8.1 (sin Update) no recibirán actualizaciones de seguridad.

Más información:

Windows 8.1 Update y Windows RT 8.1 Update están disponibles de forma gratuita en Windows Update.

Information Regarding the Latest Update for Windows 8.1


Antonio Ropero
Twitter: @aropero

jueves, 17 de abril de 2014

Ejecución de código en Adobe Reader para Android

Siguen los problemas para Adobe. En esta ocasión es Adobe Reader Mobile el producto afectado. La aplicación de Adobe para lectura de documentos pdf en dispositivos Android también se ve afectada por una grave vulnerabilidad.

Reader 11.2 para Android. Fuente: Securify
Adobe ha publicado el boletín APSB14-12 que corrige una vulnerabilidad (con CVE-2014-0514) en Adobe Reader Mobile (versiones 11.1.3 y anteriores) para sistemas Android que permitiría la ejecución de código remoto debido a un fallo en la implementación de las APIs JavaScript. Según Google Play la aplicación está instalada en más de 100 millones de dispositivos.

En concreto el problema reside en que Adobe Reader para Android expone múltiples interfaces Javascript inseguras. Las siguientes clases exponen una o más interfaces Javascript: ARJavaScript, ARCloudPrintActivity y ARCreatePDFWebView. Esto podría permitir que al abrir un pdf malicioso un atacante remoto podrá lograr la ejecución de código Java arbitrario. El fallo fue reportado por la firma Securify de los Países Bajos, que ofrece mayor información del problema y hasta una prueba de concepto.

Adobe ha publicado la versión 11.2 de Adobe Reader Mobile disponible en Google Play, o desde este enlace.

Más información:

Security update available for Adobe Reader Mobile

Adobe Reader for Android exposes insecure Javascript interfaces



Antonio Ropero
Twitter: @aropero