viernes, 3 de julio de 2015

Mozilla publica Firefox 39 y corrige 22 nuevas vulnerabilidades

Mozilla ha anunciado la publicación de la versión 39 de Firefox, junto con 13 boletines de seguridad destinados a solucionar 22 nuevas vulnerabilidades en el propio navegador y en el gestor de correo Thunderbird.

Hace mes y medio que Mozilla publicó la versión 38 de su navegador. Ahora acaba de publicar una nueva versión que incorpora nuevas funcionalidades y mejoras. Se incorpora SafeBrowsing  que habilita la detección de malware para descargas (Mac OS X y Linux).

Por otra parte, se han publicado 13 boletines de seguridad (del MSFA-2015-59 al MSFA-2015-71). Cuatro de ellos están considerados críticos, dos importantes, seis moderados y uno de gravedad baja. En total se corrigen 22 nuevas vulnerabilidades en los diferentes productos Mozilla.

Las vulnerabilidades críticas residen en un uso después de liberar memoria cuando Content Policy modifica el Document Object Model para eliminar un objeto DOM (CVE-2015-2731), también por uso de memoria después de liberarla en workers mientras se usa XMLHttpRequest (CVE-2015-2722 y CVE-2015-2733), diversos problemas de corrupción de memoria en el motor del navegador (CVE-2015-2724 al CVE-2015-2726) y siete vulnerabilidades encontradas a través de inspección de código (CVE-2015-2734 a CVE-2015-2740).

También se ha corregido la vulnerabilidad conocida como logjam (de la que ya hablamos en una-al-día) que reside en una vulnerabilidad (con CVE-2015-4000) en el protocolo TLS que básicamente permite a un atacante que haga uso de técnicas de "hombre en el medio" degradar la seguridad de las conexiones TLS a 512 bits.

Además, entre otras vulnerabilidades también se han corregido problemas debidos a una confusión de tipos en Indexed Database Manager, una escalada de privilegios a través de PDF.js, la posibilidad de abrir en nuevas pestañas archivos locales o URL privilegiadas o una lectura fuera de límites en Web Audio.

La nueva versión está disponible a través del sitio oficial de descargas de Firefox: http://www.mozilla.org/es-ES/firefox/new/

Más información:

Firefox Notes
Version 39.0

Mozilla Foundation Security Advisories

una-al-dia (15/05/2015) Mozilla Firefox 38 y soluciona 14 vulnerabilidades

Mozilla Foundation Security Advisory 2015-59
Miscellaneous memory safety hazards (rv:39.0 / rv:31.8 / rv:38.1)

Mozilla Foundation Security Advisory 2015-63
Use-after-free in Content Policy due to microtask execution error

Mozilla Foundation Security Advisory 2015-65
Use-after-free in workers while using XMLHttpRequest

Mozilla Foundation Security Advisory 2015-66
Vulnerabilities found through code inspection

una-al-dia (21/05/2015) Logjam, el hacedor de llaves en el reino de las cerraduras cobardes


Antonio Ropero
Twitter: @aropero




jueves, 2 de julio de 2015

Cisco tropieza de nuevo con una contraseña por defecto

Ha vuelto a pasar. Cisco ha anunciado que la plataforma de software Cisco Unified Communications Domain Manager contiene una contraseña estática por defecto.

Cisco Unified Communications Domain Manager (Cisco Unified CDM) es una plataforma de distribución de servicios y gestión que proporciona funciones de automatización y administración sobre Cisco Unified Communications Manager, Cisco Unity Connection y aplicaciones Cisco Jabber, así como sobre los teléfonos asociados y clientes de software.

Se dice que el hombre es el único animal que tropieza dos veces con la misma piedra. Las contraseñas por defecto es la piedra con la que Cisco tropieza una y otra vez. Hace apenas una semana anunciábamos que los dispositivos Cisco Web Security Virtual Appliance (WSAv), Email Security Virtual Appliance (ESAv) y Security Management Virtual Appliance (SMAv) incluían claves SSH por defecto.

En esta ocasión, Cisco Unified Communications Domain Manager se ha encontrado de nuevo con esa dichosa piedra (en forma de contraseña estática), que podría permitir a un atacante remoto autenticarse como root (mediante SSH) y tomar el control de los sistemas afectados. La cuenta afectada se crea durante la instalación y no se puede cambiar ni eliminar sin impactar a la funcionalidad del sistema. Para distinguir a esta piedra de entre otras del camino ha quedado identificada con el CVE-2015-4196.

Y como ya comentamos, productos como Cisco TelePresence Recording Server, Cisco NetFlow Collection Engine o Cisco Wireless Location Appliances también incluyeron cuentas administrativas con contraseñas por defecto. Solo queda por pensar, qué más productos de Cisco incluyen alguna contraseña por defecto.

Cisco ha publicado actualizaciones gratuitas para corregir esta vulnerabilidad, que queda solucionada en Cisco Unified Communications Domain Manager Platform Software Releases 4.4.5 disponible desde

Más información:

Cisco Unified Communications Domain Manager Default Static Privileged Account Credentials

una-al-dia (26/06/2015) Claves SSH por defecto en dispositivos Cisco

una-al-dia (31/07/2011) Contraseña por defecto en Cisco TelePresence Recording Server

una-al-dia (13/10/2006) Contraseña por defecto en Cisco Wireless Location Appliances

una-al-dia (26/04/2007) Credenciales por defecto en Cisco NetFlow Collection Engine




Antonio Ropero
Twitter: @aropero