Publicada la quinta conferencia TASSI Seguridad en sistemas: "explotando vulnerabilidades" D. Alejandro Ramos

Se encuentra disponible en el canal YouTube de la Universidad Politécnica de Madrid la quinta conferencia del IX Ciclo UPM TASSI 2013 con el título "Seguridad en sistemas: explotando vulnerabilidades", impartida en el Campus Sur de esta universidad el 17 de abril de 2013 por D. Alejandro Ramos, Security By Default.

http://www.youtube.com/watch?v=vKSMbOdW2p4

En la sección Conferencias TASSI del servidor web de Criptored encontrarás la presentación en pdf y otros documentos multimedia utilizados por el ponente, así como todas las conferencias de este noveno y anteriores ciclos UPM TASSI.

http://www.criptored.upm.es/paginas/docencia.htm#TASSI2013

Jorge Ramió

Boletines de seguridad de productos Mozilla corrigen 15 vulnerabilidades

La Fundación Mozilla ha publicado ocho boletines de seguridad (tres críticos, cuatro altos, uno moderado) que en total corrigen 15 vulnerabilidades que afectan al navegador Firefox y al gestor de correo Thunderbird. Se detallan a continuación:

• MFSA 2013-41: Corrige dos vulnerabilidades de corrupción de memoria que podrían permitir la ejecución de código (CVE-2013-0801 y CVE-2013-1669).
     
• MFSA 2013-42: Corrige una vulnerabilidad en Chrome Object Wrappers (COW) que permitiría ataques cross-site scripting (CVE-2013-1670).
     
• MFSA 2013-43: Corrige una vulnerabilidad full path disclosure en la entrada HTML (CVE-2013-1671).
      
• MFSA 2013-44: Corrige una vulnerabilidad en Mozilla Maintenance Service que podría causar elevación de privilegios (CVE-2013-1672).
     
• MFSA 2013-45: Corrige dos vulnerabilidades en Mozilla Updater que podrían causar elevación de privilegios (CVE-2013-1673 y CVE-2012-1942).
     
• MFSA 2013-46: Corrige una vulnerabilidad use-after-free que podría permitir ejecutar código arbitrario (CVE-2013-1674).
     
• MFSA 2013-47: Corrige una vulnerabilidad en funciones DOMSVGZoomEvent que permitiría revelar información sensible (CVE-2013-1675).
     
• MFSA 2013-48: Corrige seis vulnerabilidades de lectura fuera de límites, escritura no válida y use-after-free que podrían causar ejecución de código arbitrario. Las funciones donde se encuentran los errores son las siguientes: 'SelectionIterator::GetNextSegment', 'gfxSkipCharsIterator::SetOffsets', '_cairo_xlib_surface_add_glyph', 'mozilla::plugins::child::_geturlnotify', 'nsFrameList::FirstChild', 'nsContentUtils::RemoveScriptBlocker'.

Se recomienda actualizar a Firefox 21.0 o Firefox ESR 17.0.6, Thunderbird 17.0.6 o Thunderbird ESR 17.0.6

Más información:

MFSA 2013-48 Memory corruption found using Address Sanitizer

http://www.mozilla.org/security/announce/2013/mfsa2013-48.html

MFSA 2013-47 Uninitialized functions in DOMSVGZoomEvent

http://www.mozilla.org/security/announce/2013/mfsa2013-47.html

MFSA 2013-46 Use-after-free with video and onresize event

http://www.mozilla.org/security/announce/2013/mfsa2013-46.html

MFSA 2013-45 Mozilla Updater fails to update some Windows Registry entries

http://www.mozilla.org/security/announce/2013/mfsa2013-45.html

MFSA 2013-44 Local privilege escalation through Mozilla Maintenance Service

http://www.mozilla.org/security/announce/2013/mfsa2013-44.html

MFSA 2013-43 File input control has access to full path

http://www.mozilla.org/security/announce/2013/mfsa2013-43.html

MFSA 2013-42 Privileged access for content level constructor

www.mozilla.org/security/announce/2013/mfsa2013-42.html

MFSA 2013-41 Miscellaneous memory safety hazards (rv:21.0 / rv:17.0.6)

http://www.mozilla.org/security/announce/2013/mfsa2013-41.html

Fernando Castillo

fcastillo@hispasec.com