sábado, 13 de febrero de 2016

Actualización de seguridad para Google Chrome

Google ha publicado una actualización de seguridad para su navegador Google Chrome para todas las plataformas (Windows, Mac y Linux) para corregir seis nuevas vulnerabilidades.

Está nueva versión de Chrome 48.0.2564.109 está destinada a corregir seis problemas de seguridad. Según la clasificación de Google, tres de los fallos están considerados de gravedad alta y dos de importancia media.

Se corrigen vulnerabilidades por salto de la política de mismo origen en Extensions y en DOM, un desbordamiento de búfer en Brotli, evitar navegación en Chrome Instant y una lectura fuera de límites en PDFium. También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas. Se han asignado los CVE-2016-1622 al CVE-2016-1627.

Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 16.000 dólares en recompensas a los descubridores de los problemas.

Como es habitual, esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/).

Más información:

Stable Channel Update



Antonio Ropero
Twitter: @aropero




viernes, 12 de febrero de 2016

Vulnerabilidad crítica en el software de Cisco ASA

Cisco ha anunciado la existencia de una vulnerabilidad crítica en el software Cisco ASA (Adaptive Security Appliances) que podría permitir a un atacante remoto tomar el control de los dispositivos afectados.

La vulnerabilidad (con CVE-2015-6325 y CVSS de 10) se debe a un desbordamiento de búfer en la implementación de Internet Key Exchange (IKE) versión 1 (v1) e IKE versión 2 (v2) del software Cisco ASA. Un atacante remoto sin autenticar podría aprovechar el problema mediante el envío de paquetes UDP manipulados al sistema afectado, lo que podría permitir ejecutar código arbitrario y tomar el control del dispositivo.

Se ven afectados los dispositivos: 
  • Cisco ASA 5500 Series Adaptive Security Appliances
  • Cisco ASA 5500-X Series Next-Generation Firewalls
  • Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches y Cisco 7600 Series Routers
  • Cisco ASA 1000V Cloud Firewall
  • Cisco Adaptive Security Virtual Appliance (ASAv)
  • Cisco Firepower 9300 ASA Security Module
  • Cisco ISA 3000 Industrial Security Appliance 
Cisco ha publicado actualizaciones para todas estas versiones que pueden obtenerse desde el Software Center de Cisco.com en

Más información:

Cisco ASA Software IKEv1 and IKEv2 Buffer Overflow Vulnerability


Antonio Ropero
Twitter: @aropero