martes, 26 de agosto de 2014

Google publica Chrome 37 y corrige 50 vulnerabilidades

Google sigue imparable con Chrome, su ritmo de actualizaciones es realmente notable. A mediados de julio publicaba Chrome 36, y poco más de un mes después anuncia la nueva versión 37 del navegador. Se publica la versión 37.0.2062.94 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 50 nuevas vulnerabilidades.

Según el aviso de Google se ha mejorado el aspecto de las fuentes en Windows con el soporte de DirectWrite, se ha renovado el gestor de contraseñas, se han incorporado nuevas aplicaciones y APIs así como numerosos cambios en la estabilidad y rendimiento.

La actualización incluye la corrección de 50 nuevas vulnerabilidades. Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. En esta ocasión, aunque se han solucionado 50 vulnerabilidades, solo se facilita información de nueve de ellas.

Una combinación de fallos en V8, IPC, sync, y extensiones podría permitir la ejecución remota de código fuera de la sandbox (CVE-2014-3176 y CVE-2014-3177). Vulnerabilidades por uso después de liberar memoria en SVG (CVE-2014-3168), en DOM (CVE-2014-3169) y en bindings (CVE-2014-3171).

Otras vulnerabilidades permiten la falsificación de cuadro de diálogo de permisos (CVE-2014-3170), unproblema relacionado con la depuración de extensiones (CVE-2014-3172) y fallos por memoria sin inicializar en WebGL (CVE-2014-3173) y en WebAudio (CVE-2014-3174).

También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2014-3175). Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 51.000 dólares en recompensas a los descubridores de los problemas.

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados.

Más información:

Stable Channel Update

una-al-dia (17/07/2014) Google anuncia lanza Chrome 36 y corrige 26 vulnerabilidades


Antonio Ropero
Twitter: @aropero

lunes, 25 de agosto de 2014

Diversas vulnerabilidades en HP Service Manager

Se han anunciado cuatro vulnerabilidades en HP Service Manager (versiones v7.21, v9.21, v9.30, v9.31, v9.32 y v9.33) que podrían permitir a atacantes remotos conseguir elevar sus privilegios, modificar datos, provocar denegaciones de servicio y construir ataques de Cross-Site Scripting y Cross-Site Request Forgery.

HP Service Manager es la solución de HP para la gestión de servicios de tecnologías de la información que permite implementar los procesos necesarios para cada área de la organización. Tiene la capacidad de manejar y automatizar los servicios y cumplir con el estándar ITILv3.

El primero de los problemas, reside en que el cliente Mobility Web Client y en SRC (Service Request Catalog) debido a que no filtran adecuadamente el código hrml introducido por el usuario antes de mostrarlo (CVE-2013-6222). Esto podría permitir a un usuario remoto construir ataques de cross-site scripting.

Otro problema se presenta en WebTier y podría permitir a un atacante remoto elevar sus privilegios (CVE-2014-2632). Una vulnerabilidad de Cross-Site Request Forgery (CSRF) en Service Manager Server (CVE-2014-2633). Una última vulnerabilidad podría permitir a un atacante remoto conseguir acceder al servidor Service Manager para modificar datos o provocar denegaciones de servicio (CVE-2014-2634).

HP ha publicado actualizaciones par alas distintas plaformas afectadas, disponibles desde:

Más información:

HPSBMU03079 rev.1 - HP Service Manager, Multiple Vulnerabilities



Antonio Ropero
Twitter: @aropero