Google ha publicado una actualización de seguridad para su navegador Google Chrome para todas las plataformas (Windows, Mac y Linux) que se actualiza a la versión 43.0.2357.130 para corregir cuatro nuevas vulnerabilidades.

Se ha corregido un error de validación de esquemas en WebUI (CVE-2015-1266), dos saltos de la política de mismo origen en Blink (CVE-2015-1267 y CVE-2015-1268) y un error de normalización en la lista precargada HSTS/HPKP (CVE-2015-1269).

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/).

Más información:

Stable Channel Update

http://googlechromereleases.blogspot.com.es/2015/06/chrome-stable-update.html

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Hace unos días Google lanzó una extensión open source para Google Chrome, "Password Alert", que busca principalmente mitigar los ataques de phishing dirigidos a obtener cuentas de Google.

Además de comprobar si cada página visitada "parece" un phishing de cuentas de Google (comprobando el código HTML en busca de patrones), compara lo que escribes en ésta con tu contraseña de Google, que la extensión almacena localmente de forma segura. Concretamente, guarda parte (37 bits) del SHA1 salteado, lo que evita recuperar la contraseña original en un ataque de fuerza bruta. Ya que se almacenan pocos bits del hash, habría muchas entradas de la función hash cuya salida coincidiese con el hash parcial que se almacena, evitando la fácil recuperación de la contraseña... Continuar leyendo

La Fundación Mozilla ha publicado una actualización de seguridad destinada a corregir una vulnerabilidad de gravedad alta que afecta al navegador Firefox 37.

En el boletín MFSA 2015-45 se publica una actualización para evitar una condición de carrera cuando la inicialización de un plugin falla, lo que lleva a una vulnerabilidad potencialmente explotable de uso después de liberar memoria.

Se ha publicado la versión 37.0.2 de Firefox que se encuentra disponible para su descarga a través de los canales habituales o mediante las actualizaciones automáticas.

Más información:

MFSA 2015-45 Memory corruption during failed plugin initialization

https://www.mozilla.org/en-US/security/advisories/mfsa2015-45/

Antonio Ropero

antonior@hispasec.com

Google anuncia una nueva versión de su navegador Google Chrome 42. Se publica la versión 42.0.2311.90 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 45 nuevas vulnerabilidades.

Según el aviso de Google entre las mejoras se incluyen nuevas APIs de extensiones, de aplicaciones y de plataforma web (Web Platform), incluyendo API Push. También numerosos cambios en la estabilidad y rendimiento. Se ha deshabilitado el soporte para plugins NPAPI (como Netscape, Java y Silverlight).

Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. En esta ocasión, aunque... Continuar leyendo

Solo tres días después de publicar Firefox 37, se publica una actualización a la versión 37.0.1. En esta ocasión la Fundación Mozilla ha publicado dos boletines de seguridad que corrigen otras tantas vulnerabilidades (una crítica y otra de gravedad alta) que afectan a su navegador web.

MFSA 2015-44: Actualización crítica para solucionar una vulnerabilidad (CVE-2015-0799) en la implementación HTTP Alternative Services. Si se especifica una cabecera Alt-Svc en la respuesta HTTP/2, se puede evitar la verificación de certificado para el servidor... Continuar leyendo

Google ha publicado una actualización de seguridad para su navegador Google Chrome para todas las plataformas (Windows, Mac y Linux) que se actualiza a la versión 41.0.2272.118 para corregir cuatro nuevas vulnerabilidades, incluyendo la presentada en el Pwn2Own.

Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. De igual forma Google retiene información si algún problema depende de una librería de terceros que aun no ha sido parcheada. En esta ocasión, aunque se han solucionado cuatro vulnerabilidades, se facilita información de dos de ellas.

Se corrigen una vulnerabilidad, con CVE-2015-1233, que mediante... Continuar leyendo

Mozilla ha anunciado la publicación de la versión 37 de Firefox, junto con 13 boletines de seguridad destinados a solucionar 17 nuevas vulnerabilidades en el propio navegador, el gestor de correo Thunderbird y la suite SeaMonkey.

Hace poco más de un mes que Mozilla publicó la versión 36 de su navegador. Ahora acaba de publicar una nueva versión que, entre otras novedades y mejoras, añade protección contra la suplantación de sitios a través OneCRL, reporte de errores de certificados SSL y se desactivan las versiones inseguras de TLS.

Por otra parte, se... Continuar leyendo