You are here

Noticias

Vulnerabilidades en Foxit Reader y Foxit PhantomPDF

Hispasec - Tue, 06/12/2016 - 22:30
Foxit ha corregido tres vulnerabilidades que afectan a Foxit Reader y Foxit PhantomPDF que podrían permitir a un atacante obtener información sensible o lograr la ejecución de código arbitrario.
Foxit es un lector de PDF de la compañía Foxit Software, gratuito en su versión Reader y con versión de pago que permite modificar PDFs. Se encuentra disponible para sistemas operativos Windows y GNU/Linux, y en forma de plugin para navegadores web. Supone una alternativa más ligera y menos "atacada" al lector de Adobe.
Los problemas corregidos se deben a problemas en el tratamiento de archivos JPEG2000; una lectura fuera de límites que podría permitir la obtención de información sensible y un uso de memoria después de liberarla y un desbordamiento de búfer que podrían permitir la ejecución remota de código.
Los problemas han sido corregidos en las versiones de Foxit Reader 8.1.1 y Foxit PhantomPDF 8.1.1.
Se puede descargar las versiones actualizadas desde: https://www.foxitsoftware.com/downloads/#Foxit-Readerhttps://www.foxitsoftware.com/downloads/#Foxit-PhantomPDF-Business
Más información:
Security updates available in Foxit Reader 8.1.1 and Foxit PhantomPDF 8.1.1https://www.foxitsoftware.com/support/security-bulletins.php#content-2016




Antonio Roperoantonior@hispasec.com
Twitter: @aropero
Categories: Seguridad

Actualización del kernel para SuSE Linux Enterprise 12

Hispasec - Mon, 05/12/2016 - 22:00
SuSE ha publicado una actualización del kernel para SuSE Linux Enterprise 12 destinado a solucionar 11 vulnerabilidades que podrían permitir a un atacante provocar denegaciones de servicio, obtener información sensible o elevar sus privilegios en el sistema.
Los problemas corregidos están relacionados con la función proc_keys_show de security/keys/proc.c, la implementación del sistema de archivos en el kernel de Linux mantiene el setgid durante una llamada setxattr, la function rfcomm_sock_bind de net/bluetooth/rfcomm/sock.c, net/ipv4/tcp_input.c del kernel de Linux no determina adecuadamente el ritmo de desafío de los segmentos ACK, una condición de carrera en la función sclp_ctl_ioctl_sccb de drivers/s390/char/sclp_ctl.c y en la función ioctl_send_fib de /scsi/aacraid/commctrl.c.
Por otra parte, un desbordamiento de búfer en la función brcmf_cfg80211_start_ap de drivers/net/wireless/broadcom/brcm80211/brcmfmac/cfg80211.c y una denegación de servicio en la pila IP del kernel Linux. También vulnerabilidades en drivers/infiniband/ulp/srpt/ib_srpt.c, en la función tcp_check_send_head de include/net/tcp.h, en la función arcmsr_iop_message_xfer de drivers/scsi/arcmsr/arcmsr_hba.c. 
Los CVE asociados a los problemas corregidos son: CVE-2015-8956, CVE-2016-5696, CVE-2016-6130, CVE-2016-6327, CVE-2016-6480, CVE-2016-6828, CVE-2016-7042, CVE-2016-7097, CVE-2016-7425, CVE-2016-8658 y CVE-2016-8666.
Además se han corregido otros 111 problemas no relacionados directamente con fallos de seguridad.
La actualización afecta a:SUSE Linux Enterprise Workstation Extension 12-SP1SUSE Linux Enterprise Software Development Kit 12-SP1SUSE Linux Enterprise Server 12-SP1SUSE Linux Enterprise Module for Public Cloud 12SUSE Linux Enterprise Live Patching 12SUSE Linux Enterprise Desktop 12-SP1
Se recomienda actualizar a la última versión del kernel, disponible a través de la herramienta automática YaST con el módulo "Online Update" o con la herramienta de línea de comando "zypper".
Más información:
SUSE-SU-2016:2912-1: important: Security update for the Linux Kernelhttp://lists.suse.com/pipermail/sle-security-updates/2016-November/002422.html



Antonio Roperoantonior@hispasec.com
Twitter: @aropero
Categories: Seguridad

El Macintosh se acerca a su final

Canal PDA - Mon, 05/12/2016 - 20:34
A primera vista el Mac parece muy próspero. Si “Macintosh, S.A.” fuera una empresa independiente, los 22.800 millones de dólares que facturó durante el ejercicio fiscal 2016 de Apple (que finalizó en septiembre) la situarían en la posición 123 de la lista Fortune 500, no muy por detrás de nombres como Time Warner, Halliburton, Northrop […]
Categories: PDA / PPC

Múltiples vulnerabilidades en IBM iNotes y Domino

Hispasec - Sun, 04/12/2016 - 20:30
IBM ha publicadoactualizaciones destinadas a solucionar ocho vulnerabilidades de cross-site scripting y una de denegación de servicio en IBM Domino y en IBM iNotes versiones 8.5 y 9.0.
Se trata de ocho vulnerabilidades de cross-site scripting en IBM iNotes, que se incluye como parte de IBM Domino. Como es habitual en estos casos el problema reside en una validación insuficiente de las entradas suministradas por el usuario. Un atacante remoto podría ejecutar código arbitrario HTML o script en el navegador del usuario en el contexto del sitio afectado. Esto podría permitir que el atacante accediera a información sensible basada en el navegador como cookies de autenticación y los datos presentados recientemente.
También se soluciona una vulnerabilidad de denegación de servicio relacionada con un problema en Apache Tomcat. El fallo reside en el componente Apache Commons FileUpload, un atacante podrá provocar que el servidor deje de responder mediante el envió de peticiones de subida de archivos.
Los CVE asociados son: CVE-2016-0282, CVE-2016-3092, CVE-2016-5880, CVE-2016-2939, CVE-2016-5882, CVE-2016-6113, CVE-2016-5884, CVE-2016-2938 y CVE-2016-2939.
Se ven afectadas las versiones IBM Domino 9.0.1 a 9.0.1 Fix Pack 7 IBM Domino 9.0.0xIBM Domino 8.5.3 a 8.5.3 Fix Pack 6 Interim Fix 14IBM Domino 8.5.2xIBM Domino 8.5.1x
IBM ha publicado las siguientes actualizaciones: Domino 9.0.1 Fix Pack 7 Interim Fix 1 http://www.ibm.com/support/docview.wss?uid=swg21657963Domino 8.5.3 Fix Pack 6 Interim Fix 15http://www.ibm.com/support/docview.wss?uid=swg21663874
Más información:
Security Bulletin: Multiple Vulnerabilities affect IBM Domino & IBM iNoteshttp://www-01.ibm.com/support/docview.wss?uid=swg21992835





Antonio Roperoantonior@hispasec.comTwitter: @aropero
Categories: Seguridad

Google publica Chrome 55 y corrige 36 vulnerabilidades

Hispasec - Sat, 03/12/2016 - 22:00
Google anuncia una nueva versión de su navegador Google Chrome 55. Se publica la versión 55.0.2883.75 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 36 nuevas vulnerabilidades. 
Como es habitual, Google solo proporciona información sobre los problemas reportados por investigadores externos o los considerados de particular interés. En esta ocasión, aunque se han solucionado 36 nuevas vulnerabilidades, solo se facilita información de 26 de ellas (12 de gravedad alta, nueve de importancia media y cinco bajas).
Se corrigen vulnerabilidades por cross-site scriptings en Blink, salto de la política de mismo origen en PDFium y en SVG, acceso a datos privados en V8, escritura fuera de límites en Blink y en PDFium, uso de memoria después de liberarla en PDFium y en V8, descubrimiento de archivos locales en DevTools, salto de la protección de descarga de archivos.
Otros fallos corregidos residen en un uso de datos sin validar en PDFium, falsificación de direcciones en Omnibox, desbordamiento de entero en ANGLE y en PDFium, acceso a archivos locales en PDFium y problemas con Content Security Policy (CSP).
Se han asignado los CVE-2016-5203 al CVE-2016-5226, CVE-2016-9650 y CVE-2016-9651.
También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2016-9652). Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 70.000 dólares en recompensas a los descubridores de los problemas.
Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/). O descargar directamente desde: google.com/chrome.
Más información:
Stable Channel Updatehttps://googlechromereleases.blogspot.com.es/2016/12/stable-channel-update-for-desktop.html



Antonio Roperoantonior@hispasec.com
Twitter: @aropero
Categories: Seguridad

Malware para Android compromete más de un millón de cuentas de Google

Hispasec - Fri, 02/12/2016 - 19:17
CheckPoint ha anunciadouna nueva campaña de malware, que bajo el nombre de Gooligan ha comprometido más de un millón de cuentas de Google, y continúa creciendo a un ritmo de 13.000 dispositivos infectados al día. En nuestro Laboratorio Técnico hemos podido analizar algunas muestras de este malware.

Este malware no es nuevo, en realidad procede de una mezcla de varios anteriores, tales como GhostPush, Kemoge, HummingBad, sólo que esta vez ha llegado un poco más lejos con la combinación de distintos tipos de ataques. Check Point reconoce en su artículo que procede de una campaña de malware previa que tuvo su momento de gloria a finales del año 2015 y que se incluía en una versión maliciosa de la aplicación de backups SnapPea.
Gooligan afecta a dispositivos con Android 4 (Jelly Bean, KitKat) y 5 (Lollipop), lo que actualmente representa más de un 74% de los dispositivos actuales de los registrados en el market de Google. Calculan que el 9% de estos dispositivos infectados están en Europa y un 19% en América.
La infección comienza cuando un usuario descarga e instala una aplicación infectada por Gooligan en un dispositivo Android. Esta instalación se puede producir de diferentes maneras: desde correos basura (scam) invitando al usuario a probar una nueva aplicación, hasta en "markets" no oficiales. Tras la instalación de la aplicación infectada, ésta envía información del dispositivo al servidor punto de control (C&C del inglés Command&Control) de la campaña.
Tras esto, Gooligan descarga un rootkit del servidor C&C, lo instala en el dispositivo y lo ejecuta. Este rootkit aprovecha múltiples vulnerabilidades en Android 4 y 5 incluyendo las ya conocidas VROOT (CVE-2013-6282) y Towelroot (CVE-2014-3153). Estas vulnerabilidades, a pesar de tener más de tres años, siguen estando sin parchear en muchos dispositivos actuales dada la dificultad e incluso imposibilidad de actualizar muchos dispositivos. Si el exploit tiene éxito, el atacante tendrá control total del dispositivo y podrá ejecutar comandos con privilegios de forma remota.
Las muestras que hemos analizado en nuestro laboratorio tratan de conectarse a estas dos URLs para descargar este rootkit, aunque en el momento del análisis aparecían caídas:
  • hxxp://down.akwacdn.com/myroapk/rootmasterdemo1128_524[.]apk
  • hxxp://106.186.17.81/rootmasterdemo1128_524[.]apk

Después de conseguir el acceso root, Gooligan descarga e instala un nuevo módulo malicioso del servidor C&C. Este módulo se inyecta en la ejecución de Google Play o GMS (Google Mobile Services) para imitar el comportamiento del usuario y evitar su detección. Este nuevo módulo permite:
  • Robar la cuenta de correo electrónico de Google del usuario y la información del token de autenticación
  • Instalar aplicaciones de Google Play y calificarlas para aumentar su reputación  
  • Instalar adware para generar ingresos

Cabe decir que la instalación de adware para generar ingresos se intenta conseguir a través del bombardeo al usuario con una técnica conocida como "drive-by-download". Esta consiste en indicar al usuario que debe descargar una aplicación/archivo pero sin dejar muy claro para qué. Con esto el malware se lucra a base de publicidad.
El token de autenticación de Google tiene una función clave. Este se asigna al usuario una vez se identifica en su cuenta de Google y con él se pueden realizar casi la mayoría de acciones relacionadas con los servicios del mismo. Ya se observó el mismo comportamiento en otras familias anteriormente (HummingBad) y el objetivo principal era votar aplicaciones positivamente en Google Play y comentarlas. En este caso sucede lo mismo.
Check Point pone a disposición de los usuarios un sitio web en el que comprobar si la cuenta Google ha sido comprometida por Gooligan: https://gooligan.checkpoint.com/.
En nuestro laboratorio se analizaron a mediados de agosto unas muestras que abrían una puerta trasera ("Backdoor") en los dispositivos y que finalmente resultó utilizar la misma infraestructura que esta nueva familia. La regla Yara que utilizamos para detectarlo:
  https://koodous.com/rulesets/1765
Por supuesto, al haberla detectado de manera tan prematura, esas aplicaciones no contenían las mismas funcionalidades que ahora se han explicado, pero los usuarios de Koodous han estado protegidos desde entonces.
Más información:
More Than 1 Million Google Accounts Breached by Gooliganhttp://blog.checkpoint.com/2016/11/30/1-million-google-accounts-breached-gooligan/


Antonio Sánchezasanchez@hispasec.com

Antonio Roperoantonior@hispasec.comTwitter: @aropero


Categories: Seguridad

Mozilla soluciona vulnerabilidad en Firefox y Thunderbird

Hispasec - Thu, 01/12/2016 - 22:30
La fundación Mozilla ha reportado una vulnerabilidad considerada crítica en Firefox y Thunderbird (MFSA 2016-92). Esta vulnerabilidad podría ser aprovechada por un atacante remoto para ejecutar código arbitrario.
El problema, con CVE-2016-9079, reside en que un atacante remoto que se aproveche de un error de validación en SVG Animation podría causar la liberación de memoria previamente liberada y así ejecutar código arbitrario con los privilegios del usuario a través de páginas web especialmente manipuladas.
La vulnerabilidad se está explotando de forma activa en sistemas Windows contra Firefox y el navegador Tor para descubrir a los usuarios de la red Tor.
Existe código exploit disponible en:https://lists.torproject.org/pipermail/tor-talk/2016-November/042639.html
Para corregir esta vulnerabilidad Mozilla ha publicado las versiones actualizadas:
  • Firefox 50.0.2
  • Firefox ESR 45.5.1
  • Thunderbird 45.5.1
Se recomienda actualizar a las últimas versiones, disponibles para su descarga a través de los canales habituales o mediante las actualizaciones automáticas.
Más información:
Mozilla Foundation Security Advisory 2016-92https://www.mozilla.org/en-US/security/advisories/mfsa2016-92

Juan Sánchezjasanchez@hispasec.com

Categories: Seguridad

Yoigo se hace mayor al cumplir 10 años

Canal PDA - Thu, 01/12/2016 - 11:57
Yoigo celebra hoy su décimo cumpleaños, pudiendo presumir de haber revolucionado la forma de hacer telefonía móvil e internet (4G) en España, y de ser una compañía rentable y completamente consolidada. A su aniversario se suma la celebración de formar parte, junto a MÁSMÓVIL y Pepephone, del cuarto operador de telecomunicaciones español, el Grupo MÁSMÓVIL.Aunque […]
Categories: PDA / PPC

Llega el filtro batalla a las llamadas de VozDigital

Canal PDA - Thu, 01/12/2016 - 11:50
Y no es que queramos promover que nuestros clientes tengan conversaciones bélicas por teléfono, sino que ¡nos lo estaban pidiendo a gritos! Por eso, después del trol, el gnomo, el pájaro o terror, hoy presentamos el filtro batalla para clientes con dispositivos Android.Desde que introdujimos los filtros en las llamadas de VozDigital el pasado mes […]
Categories: PDA / PPC

Huawei y Telefónica España cooperarán en el desarrollo de productos XGS-PON y aplicaciones para redes del hogar

Canal PDA - Thu, 01/12/2016 - 11:04
Telefónica España y Huawei han firmado un Memorando de Entendimiento (MoU, por sus siglas en inglés), con el propósito de desarrollar redes ópticas pasivas de 10 Gbps simétricos (XGS-PON, por sus siglas en inglés), así como aplicaciones y productos para redes del hogar.Como operador de telecomunicaciones líder global, Telefónica despliega en España redes de fibra […]
Categories: PDA / PPC

Restaurant Week 2016 recauda más de 20.000€ para Ayuda en Acción y su lucha contra la pobreza infantil en nuestro país

Canal PDA - Thu, 01/12/2016 - 11:02
Solidaridad y gastronomía han triunfado una vez más en una nueva edición de Restaurant Week. La iniciativa de ElTenedor, que tuvo lugar del 26 de octubre al 13 de noviembre, y en la que por cada menú consumido en los restaurantes participantes se donaba 1€ a una causa solidaria, ha sido todo un éxito. Esta […]
Categories: PDA / PPC

Ensenyament y Eurecat impulsan nueve actuaciones para la transferencia de conocimiento a las aulas

Canal PDA - Thu, 01/12/2016 - 10:46
El Departament d’Ensenyament y el centro tecnológico Eurecat (miembro de TECNIO) han firmado un convenio marco de colaboración para promover la transferencia de conocimiento y de formación profesional y especializada en los centros docentes catalanes, que recoge nueve actuaciones para favorecer, potenciar y actualizar la formación a través de la innovación.El acuerdo, que promoverá el […]
Categories: PDA / PPC

Zebra Technologies, entre las empresas que más contribuyen al desarrollo del Internet of Things según el ranking IoT 50 de CRN

Canal PDA - Thu, 01/12/2016 - 10:27
Zebra Technologies Corporation (NASDAQ: ZBRA), líder global en productos y servicios que provee visión a tiempo real de los activos empresariales, ha anunciado que la publicación CRN, perteneciente a The Channel Company, ha incluido a Zebra en su lista Internet of Things (IoT) 50 de 2016. A través de este listado se reconoce a las […]
Categories: PDA / PPC

1 maceta Parrot Pot = 1 árbol

Canal PDA - Thu, 01/12/2016 - 09:06
El proyecto, que apoya la operación ‘‘1 Parrot Pot = 1 árbol’’, se ubica en la región de Tigray, en el norte de Etiopía. Sus objetivos son restaurar un bosque en una tierra estéril libre de prácticas agrícolas y pastoreo, luchar contra los efectos nocivos del cambio climático e involucrar a la población local a […]
Categories: PDA / PPC

Vulnerabilidades en ordenadores Lenovo (de nuevo el software propietario preinstalado)

Hispasec - Wed, 30/11/2016 - 22:00
Se han reportado dos vulnerabilidades en ordenadores Lenovo (incluyendo portátiles, servidores y equipos de sobremesa). Las vulnerabilidades son consideradas de gravedad alta y podrían permitir a un atacante local ejecutar código arbitrarioy elevar privilegios dentro del sistema. Una vez más los problemas residen en el software propietario preinstalado por Lenovo.
No es la primera vez que Lenovo tiene problemas con aplicaciones propias instaladasen Windows. De nuevo volvemos a recordar y remarcar el peligro del software preinstalado.
En el primer problema, con CVE-2016-8223, en el que un atacante local con privilegios limitados podría aprovecharse de un error en Lenovo System Interface Foundation (Lenovo.Modern.ImController.exe o Lenovo.Modern.ImController.PluginHost.exe que funciona como servicio en el administrador de tareas de Windows 10) para ejecutar código arbitrario dentro del sistema con privilegios de administrador. Lenovo Sistem Interface Foundation proporciona servicios, drivers y aplicaciones de ayuda a otros softwares propios de Lenovo y otros servicios dentro de Windows 10.  Afecta a todos los Thinkpad, Thinkcentre, ThinkStation y sistemas Lenovo preinstalados con Windows 10 u cualquier otro sistema que ejecute Lenovo Companion, Lenovo Settins o Lenovo ID.
Se recomienda actualizar a la última versión de Lenovo System Interface Foundation (http://support.lenovo.com/downloads/ds105970).
El segundo problema, con CVE-2016-8224, podría permitir a un atacante con privilegios administrativos en el sistema causar una denegación de servicio y/o elevar privilegios dentro del sistema a través de una aplicación especialmente manipulada que eluda restricciones de las protecciones del Intel Management Engine.
Intel Management Engine (ME) es un conjunto de características hardware desarrolladas por Intel para administrar, reparar y proteger ordenadores dentro de sus propias redes.
Afecta a los siguientes sistemas y productos:
Lenovo Notebook modelos: 110-14IBR/110-15IBRB70-80E31-80E40-80E41-80E51-80G40-80G50-80G50-80 TouchIdeapad 300-14IBR/300-15IBRIdeapad 300-14ISK/300-15ISK/300-17ISKIdeapad 510S-12ISKK21-80K41-80MIIX 710-12IKB XiaoXin Air 12YOGA 510-14ISK/510-15ISKYOGA 710-11IKBYoga 710-11ISKYoga 900-13ISKYOGA 900S-12ISK
ThinkServer TS150ThinkServer TS250ThinkServer  TS450ThinkServer  TS550
Lenovo ha publicado actualizaciones para los sistemas afectados, se recomienda consultar la página https://support.lenovo.com/es/es/solutions/LEN_9903para determinar por la versión de la BIOS si el sistema está afectado y la actualización requerida.
Las vulnerabilidades han sido reportadas a través de auditorías internas de la propia compañía y por Alexander Ermolov de Digital Security ltd.
Más información:
Intel Management Engine protection not set on some Lenovo Notebook and ThinkServer systemshttps://support.lenovo.com/es/es/solutions/LEN_9903
Lenovo System Interface Foundation Privilege Escalationhttps://support.lenovo.com/es/es/solutions/LEN_10150
una-al-dia (20/02/2015) Portátiles Lenovo con malware de regalohttp://unaaldia.hispasec.com/2015/02/portatiles-lenovo-con-malware-de-regalo.html
una-al-dia (08/05/2016) El software preinstalado vuelve a causar problemas en equipos Lenovohttp://unaaldia.hispasec.com/2016/05/el-software-preinstalado-vuelve-causar.html
una-al-dia (03/06/2016) Otra vez Lenovo y las aplicaciones preinstaladashttp://unaaldia.hispasec.com/2016/06/otra-vez-lenovo-y-las-aplicaciones.html

Juan Sánchezjasanchez@hispasec.com
Categories: Seguridad

LaLiga y Microsoft sellan una alianza global para transformar la experiencia digital de los aficionados al fútbol

Canal PDA - Wed, 30/11/2016 - 15:33
LaLiga y Microsoft han anunciado esta mañana, en un acto celebrado en el Global Sports Innovation Center de Madrid, una alianza global que busca transformar la experiencia de los aficionados al fútbol a través de soluciones digitales innovadoras. El acuerdo, que prevé el desarrollo de diferentes líneas de actuación, permitirá a los más de 1.600 […]
Categories: PDA / PPC

Tviso incorpora el catálogo completo de HBO

Canal PDA - Wed, 30/11/2016 - 15:25
Tviso, el mayor agregador de contenido audiovisual de España, ya tiene disponible para sus usuarios toda la oferta que HBO ha presentado esta misma semana. El desembarco en España de la plataforma creadora de Los Soprano o The Wire ofrece las temporadas completas de sus series originales más aclamadas -Juego de Tronos, Westworld, Sexo en […]
Categories: PDA / PPC

Una nueva experiencia pensada para la comunidad gamer española

Canal PDA - Wed, 30/11/2016 - 15:24
Ya sea un colega capturando Pokémons al lado mío en el supermercado, mi sobrina mostrándome con orgullo su nuevo edificio en Minecraft o un vecino invitándome a una partida de Street Fighter, hoy los videojuegos son un fenómeno de masas. De hecho, ya hay más de 15 millones de jugadores en España que dedican un […]
Categories: PDA / PPC

Nokia y Hewlett Packard Enterprise amplían su colaboración en el área de Internet de las Cosas de empresas

Canal PDA - Wed, 30/11/2016 - 15:14
Nokia y Hewlett-Packard Enterprise (HPE) anuncian una colaboración estratégica en soluciones de Internet de las Cosas (IoT) para clientes de empresas. Ambas compañías comercializarán y venderán conjuntamente soluciones para dos segmentos de empresas verticales de IoT, incluidas una serie de aplicaciones para los sectores de industria / fabricación y ciudades inteligentes. Proporcionarán a los clientes […]
Categories: PDA / PPC

Vulnerabilidad crítica en Mozilla Firefox

Hispasec - Tue, 29/11/2016 - 22:00
La Fundación Mozilla ha publicado una actualización de seguridaddestinados a corregir una vulnerabilidad considerada crítica (MFSA 2016-91) en el navegador Firefox.
El problema (CVE-2016-9078) reside en que en determinadas circunstancias una redirección desde una conexión http a una URL "data:" puede permitir evitar los controles de políticas de mismo origen y permitir que el dominio de referencia acceda a datos en el dominio de la URL "data:".
El fallo solo afecta a las versiones Firefox 49 y 50. Para corregir estas vulnerabilidades, se han publicado la versión Firefox 50.0.1, disponible para su descarga a través de los canales habituales o mediante las actualizaciones automáticas.
Más información:
Security vulnerabilities fixed in Firefox 50.0.1 https://www.mozilla.org/en-US/security/advisories/mfsa2016-91/


Antonio Roperoantonior@hispasec.comTwitter: @aropero
Categories: Seguridad

Pages

Subscribe to Bytecoders aggregator