Google publica Chrome 59 y corrige 30 vulnerabilidades

Fecha de Publicación: 6 de junio de 2017

Google anuncia una nueva versión de su navegador Google Chrome 59. Se publica la versión 59.0.3071.86 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 30 nuevas vulnerabilidades.

Como es habitual, Google solo proporciona información sobre los problemas reportados por investigadores externos o los considerados de particular interés. En esta ocasión, aunque se han solucionado 30 nuevas vulnerabilidades, solo se facilita información de 16 de ellas (cinco de gravedad alta, ocho de importancia media y tres consideradas como bajas).

Se corrigen vulnerabilidades por uso de memoria después de liberarla en Print Preview, Apps Bluetooth y autocompletado de tarjeta de crédito; confusión de tipos en V8, falsificaciones de direcciones en Omnibox, lectura fuera de límites en V8, fuga de información en CSP, desbordamiento de heap en Skia, falsificación de interfaz de usuario en Blink, salto de la verificación de extensiones y posible inyección de comandos en el tratamiento de correos. Por último, también se ha solucionado una seguridad insuficiente en el editor de tarjetas de crédito y ejecución inadecuada de javascript en páginas WebUI. Se han asignado los CVE-2017-5070 al CVE-2017-5086.

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de «Información sobre Google Chrome» (chrome://chrome/). O descargar directamente desde: google.com/chrome.

Recursos Afectados: versiones anteriores a Google Chrome 59

Solución: Google Chrome 59 corregi 30 nuevas vulnerabilidades

Google soluciona 101 vulnerabilidades en Android

Fecha de Publicación: 7 de junio de 2017

Google ha publicado el boletín de seguridad Android correspondiente al mes de junio en el que corrige un total de 101 vulnerabilidades, 28 de ellas calificadas como críticas.

Como es habitual, Google divide las vulnerabilidades corregidas en dos bloques principales en función de los componentes afectados. En el nivel de parches de seguridad 2017-06-01 («2017-06-01 security patch level«) se solucionan 21 vulnerabilidades, solo una de ellas se considera crítica y podrían permitir la ejecución remota de código al tratar archivos multimedia. Otras 14 de ellas son de gravedad alta y seis de importancia moderada.

Por otra parte en el nivel de parches de seguridad 2017-06-05 («2017-06-05 security patch level«) se solucionan un total de 80 fallos en subsistemas del kernel, controladores y componentes OEM. 27 de las vulnerabilidades están consideradas críticas, 30 de gravedad alta, 20 de riesgo medio y tres de importancia baja. Cabe destacar que los componentes Qualcomm son los más afectados, además de acaparar todas las vulnerabilidades críticas.

A pesar de las actualizaciones de Google para Android, estas solo llegan puntualmente a los dispositivos Pixel y Nexus, los propios de Google. Es destacable el esfuerzo realizado por otros fabricantes, como Samsung o Blackberry, que también están aplicando las actualizaciones con periodicidad. Pero esto no ocurre en todos los casos, lamentablemente el proceso de actualización de Android en muchos casos también incluye a las operadoras de telefonía, lo cual alarga aun más el proceso de actualización. Por ello, como ya hemos comentado en múltiples ocasiones que las actualizaciones lleguen a todos los usuarios sigue siendo uno de los principales puntos débiles de Android.

Recursos Afectados: Dispositivos Android

Solución: Mantener las actualizaciones en los dispositivos android.

Cisco soluciona 33 vulnerabilidades en múltiples dispositivos

Fecha de Publicación: 9 de junio de 2017

Cisco ha publicado 33 boletines de seguridad para solucionar otras tantas vulnerabilidades (dos críticas, dos de gravedad alta y el resto de importancia media) en múltiples productos que podrían permitir provocar denegaciones de servicio, cross-site scripting, inyección SQL, ejecutar código arbitrario, acceder al dispositivo sin autorización entre otros ataques.

Las dos vulnerabilidades consideradas críticas afectan a Cisco Prime Data Center Network Manager (DCNM). Con CVE-2017-6639 una vez más el recurrente problema de las credenciales estáticas por defecto que podría permitir a un atacante remoto sin autenticar acceder a la consola de administración y conseguir permisos administrativos. Con CVE-2017-6640 una vulnerabilidad debida a la falta de autenticación y autorización en la herramienta de depuración que estaba habilitada en el software afectado. Este problema podría permitir a un atacante remoto sin autenticar acceder a información sensible o ejecutar código arbitrario con privilegios de root.

De gravedad alta una vulnerabilidad, con CVE-2017-6648, de denegación de servicio en Cisco TelePresence Endpoint debido al protocolo SIP (Session Initiation Protocol). También considerada de impacto alto una vulnerabilidad en la forma en que las dll se cargan con el cliente para Windows de Cisco AnyConnect Secure Mobility y que podría permitir a un atacante local sin autenticar instalar y ejecutar un archivo con privilegios del sistema (CVE-2017-6638).

Ocho de las vulnerabilidades afectan a Cisco Ultra Services (Platform y Framework) y podrían permitir la obtención de información sensible o acceder al dispositivo con credenciales por defecto.

Otras nueve vulnerabilidades afectan a Cisco Elastic Services Controller y podrían permitir la obtención de credenciales de autenticación, acceso a directorios sin autorización, obtención de información sensible, ejecución de comandos arbitrarios o, una vez más, acceder al dispositivo con credenciales por defecto.

Dos vulnerabilidades afectan a Cisco Unified Communications Domain Manager, una de inyección SQL y otra de redirección abierta. También dos vulnerabilidades afectan a Cisco Email Security Appliance por un salto del filtrado de los adjuntos y por un Cross-Site Scripting.

También cabe señalar una vulnerabilidad de Cross-Site Scripting en Cisco Industrial Network Director y de Cross-Site Request Forgery en Cisco Prime Collaboration Assurance. Una ejecución de comandos arbitrarios en Cisco Context Service SDK y otra de modificación de archivos arbitrarios en Cisco StarOS.

Por último señalar vulnerabilidades de denegación de servicio en Cisco IP Phone 8800 Series, routers Cisco Network Convergence System 5500 y Cisco NX-OS Software.

Recursos Afectados: Cisco TelePresence Endpoint, Cisco AnyConnect, Cisco Ultra Services, Cisco StarOS, Cisco IP Phone 8800, Cisco Prime Collaboration Assurance, Cisco Network Convergence System 5500, Cisco Industrial Network Director, Cisco Firepower Management Center, Cisco Elastic Services Controller, Cisco Email Security, Cisco Context Service SDK, Cisco NX-OS Software, Cisco Unified Communications Domain Manager, Cisco Prime Data Center Network Manager

Solución: Cisco ha publicado actualizaciones para las vulnerabilidades consideradas de gravedad crítica y alta. Se recomienda consultar las alertas publicadas para obtener información sobre disponibilidad de parches y actualizaciones.

Actualización para el cliente Mac de VMware Horizon View

Fecha de Publicación: 10 de junio de 2017

Descripción: VMware ha publicado actualizaciones de seguridad para corregir una vulnerabilidad en Mac de VMware Horizon View que podría permitir a un atacante elevar sus privilegios a root en el sistema afectado. Esta vulnerabilidad afecta las versiones del cliente para OS X 2.x, 3.x y 4.x.

VMware Horizon View es una solución de virtualización de escritorio comercializada por VMware, proporciona capacidades de escritorio remoto a los usuarios que utilizan la tecnología de virtualización.

El problema, con CVE-2016-4918, reside en una vulnerabilidad de inyección de comandos en el script de arranque del servicio. Un atacante sin privilegios podría aprovechar este problema para elevar sus permisos a root en el sistema Mac OSX donde esté instalado el cliente y obtener el control del sistema.

Recursos Afectados: Mac OSX.

Solución: VMware ha publicado la versión 4.5 para corregir este problema.

Corregidas vulnerabilidades en VMware Workstation

Fecha de Publicación: 21/05/2017

Descripción: VMware ha publicado actualizaciones de seguridad para corregir dos vulnerabilidades importantes en VMware Workstation.

El boletín VMSA-2017-0009 se refiere a dos vulnerabilidades en VMware Workstation Pro y Player 12.x. La primera con CVE-2017-4915 reside en la carga insegura de librerías a través de los archivos de configuración del controlador de sonido ALSA. Esto podría permitir elevar privilegios a root en un sistema anfitrión Linux.

Por otra parte, con CVE-2017-4916, una desreferencia de puntero nulo en el controlador vstor2, que podría permitir provocar condiciones de denegación de servicios a usuarios del sistema anfitrión.

Recursos Afectados: VMware Workstation 12 Pro versión 12.5.5

Solución: Actualizar a la versión VMware Workstation Player 12.5.6

Actualización para Joomla! por Inyección SQL

Fecha de Publicación: 19/05/2017

Descripción: Joomla! ha publicado la versión 3.7.1 destinada a corregir una grave vulnerabilidad de inyección SQL en Joomla! 3.7 fácilmente explotable por atacantes sin privilegios

El problema, con CVE-2017-8917, fue anunciado por investigadores de la firma Securi y reside en el componente com_field (introducido en la versión 3.7). Este componente es accesible de forma pública, lo que significa que puede ser aprovechado por cualquier atacante que visite una web afectada.

Dada la naturaleza de los ataques de inyección SQL, son muchas las formas en que el atacante podría emplearlo. Los ejemplos incluyen obtención de hashes de contraseñas o el secuestro de una sesión de usuario iniciada (que puede significar el compromiso del sitio completo si el atacante obtiene una sesión del administrador).

También se han corregido otros problemas no relacionados directamente con fallos de seguridad.

Recursos Afectados: Joomla 3.7

Solución: Actualizar a la versión 3.7.1

Actualización para Adobe Flash Player y Experience Manager Forms

Fecha de Publicación: 14/05/2017

Descripción:

Adobe Flash Player: Como es habitual todos los meses el habitual aviso dedicado a Adobe Flash Player, para el que se ha publicado el boletín APSB17-15, destinado a solucionar siete vulnerabilidades. Todos los problemas podrían permitir a un atacante tomar el control de los sistemas afectados.

Los problemas que se corrigen en este boletín podrían permitir la ejecución de código arbitrario aprovechando una vulnerabilidad de uso de memoria después de liberarla y seis de corrupción de memoria. Los CVE asignados son: CVE-2017-3068 al CVE-2017-3074.

Adobe ha publicado la versión 25.0.0.171 de Flash Player Desktop Runtime, Flash Player para Linux y para navegadores Internet Explorer, Edge y Chrome destinada a solucionar las vulnerabilidades.

Adobe Experience Manager Forms

Por otra parte, Adobe ha publicado una actualización de seguridad para Adobe Experience Manager (AEM) Forms en Windows, Linux, Solaris y AIX. AEM Forms es el sucesor de Adobe LiveCycle. Afectan a Adobe Experience Manager Forms 6.2, 6.1 y 6.0.

Está destinada a resolver una vulnerabilidad de obtención de información sensible, considerada importante, resultante del abuso del servicio de pre-population en AEM Forms (CVE-2017-3067). Se ha resuelto proporcionando a los administradores controles adicionales en la configuración para restringir las rutas de archivos y protocolos empleados para rellenar automáticamente un formulario.

Recursos Afectados: Versiones anteriores de Adobe

Solución: Actualizar a las últimas versiones de Adobe Flash Player Desktop Runtime y Adobe Experience Manager Forms

Vulnerabilidades críticas en Veritas NetBackup

Fecha de Publicación: 13/05/2017

Descripción: Se han anunciado tres vulnerabilidades críticas en Veritas NetBackup y NetBackup Appliance que podrían permitir a un atacante remoto escribir archivos y ejecutar código arbitrario en los sistemas afectados.
Los problemas residen en el proceso ‘bprd’ en un servidor maestro. Podrían permitir evitar el filtrado de directorios por lista blanca y la ejecución de comandos a usuarios remotos sin autenticar como root/administrator (CVE-2017-8856). También se podría copiar cualquier archivo sobre otro en un host NetBackup en el dominio del servidor maestro y su posterior ejecución como root/administrator (CVE-2017-8857). Y por último la escritura de cualquier archivo en un host NetBackup host en el dominio del servidor maestro (CVE-2017-8858).

Recursos Afectados: NetBackup 8.0 (y anteriores) y NetBackup Appliance 3.0 (y anteriores).

Solución: Se han publicado actualizaciones para corregir estos problemas disponibles desde:
https://www.veritas.com/docs/000126389

El troyano móvil bancario ataca a Latinoamérica

Fecha de Publicación: 02/05/2017

Descripción: Marcher no es un troyano nuevo pero por su incidencia y los riesgos que representa merece ser tenido en cuenta. Este malware para Android es capaz de robar credenciales del usuario, así como obtener datos del dispositivo o interceptar mensajes de texto.Además, cuenta con la posibilidad de monitorizar las aplicaciones que están instaladas y activarse cuando detecta el uso de determinadas aplicaciones.

En anteriores ocasiones, ha estado dirigido a entidades americanas, alemanas, británicas, y rusas. Pero esta vez se encarga de atacar a entidades latinoamericanas, incluyendo países como México, Argentina, Colombia o Perú.

Para lograr infectar a los usuarios, se camufla bajo una falsa actualización de Flash Player.

Recursos Afectados: Dispositivos Android.

Solución: Comprobar siempre los permisos que pide cada aplicación al ser instaladas.

Google soluciona 118 vulnerabilidades en Android

Fecha de Publicación: 07/05/2017

Descripción: Google ha publicado el boletín de seguridad Android correspondiente al mes de mayo en el que corrige un total de 118 vulnerabilidades, 29 de ellas calificadas como críticas.

Como es habitual, Google divide las vulnerabilidades corregidas en dos bloques principales en función de los componentes afectados. En el nivel de parches de seguridad 2017-05-01 («2017-05-01 security patch level») se solucionan 20 vulnerabilidades, seis de ellas se consideran críticas y podrían permitir la ejecución remota de código a través de Mediaserver mediante diferentes medios, incluyendo correo, navegación web y MMS al tratar archivos multimedia. Otras ocho de ellas son de gravedad alta, cinco de importancia moderada y una baja.

Por otra parte en el nivel de parches de seguridad 2017-05-05 («2017-05-05 security patch level») se solucionan un total de 98 fallos en subsistemas del kernel, controladores y componentes OEM. 23 de las vulnerabilidades están consideradas críticas, 59 de gravedad alta y 16 de riesgo medio. Cabe destacar que los componentes Qualcomm son los más afectados.

Los problemas críticos podrían permitir la ejecución remota de código por vulnerabilidades en GIBLIB y libxml2. También incluyen vulnerabilidades de elevación de privilegios en los controladores táctiles MediaTek, en el subsistema de sonido del kernel, en los bootloader de Qualcomm y Motorola, en el controlador de vídeo NVIDIA; así como diferentes vulnerabilidades en componentes Qualcomm.

Recursos Afectados: Usuarios con versiones viejas de Google para Android.

Solución: Actualizar la versión mas reciente de Google.