Category: Actualitat

HP ha publicat 13 vulnerabilitats: 1 de severitat crítica, 7 de severitat alta i la resta de severitat mitjana. En cas de ser explotades podrien provocar una denegació de servici, execució de codi, divulgació d’informació confidencial, desbordament de búfer o injecció de scripts.

Análisi

La vulnerabilitat de severitat crítica en la implementació del desxifrat SM2 en OpenSSL permet que la funció EVP_PKEY_decrypt() calcule incorrectament la grandària del búfer necessari per al text pla en la seua primera crida. Això pot resultar en un búfer massa xicotet en la segona crida, causant un desbordament de búfer de fins a 62 bytes. Un atacant podria explotar això per a sobreescriure dades adjacents en el muntó, alterant el comportament de l’aplicació o provocant el seu bloqueig. S’ha assignat l’identificador CVE-2021-3711 per a esta vulnerabilitat.

La resta de vulnerabilitats es poden consultar en l’enllaç de les referències.

Recursos afectats

• • SSH Server (T0801);
  • NonStop SSL (T0910);
  • MR-Win6530 (T0819).

Recomanacions

Actualitzar a l’última versió disponible.

Referencias

https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbns04859en_us&docLocale=en_US

Mozilla ha llançat actualitzacions de seguretat per a abordar dos vulnerabilitats crítiques en el seu navegador Firefox que podrien ser explotades per a accedir a dades confidencials o aconseguir l’execució de codi.

Análisi

Mozilla ha llançat actualitzacions de seguretat per a abordar dos vulnerabilitats crítiques en el seu navegador Firefox que podrien ser explotades per a accedir a dades confidencials o aconseguir l’execució de codi.

Les vulnerabilitats, les dos explotades com a dia zero, s’enumeren a continuació:

CVE-2025-4918: una vulnerabilitat d’accés fora de límits en resoldre objectes Promise que podria permetre a un atacant realitzar operacions de lectura o escriptura en un objecte Promise de JavaScript.
CVE-2025-4919: una vulnerabilitat d’accés fora de límits en optimitzar sumes lineals que podria permetre a un atacant realitzar operacions de lectura o escriptura en un objecte JavaScript en confondre les grandàries d’índex de la matriu.

En altres paraules, l’explotació exitosa de qualsevol de les vulnerabilitats podria permetre a un adversari realitzar operacions de lectura o escriptura fora dels límits, que després podrien usar-se per a accedir a informació que d’una altra manera seria confidencial o provocar una corrupció de memòria que podria aplanar el camí per a l’execució de codi.

Recursos afectats

Totes les versions de Firefox anteriors a la 138.0.4 (inclòs Firefox per a Android).
Totes les versions de Firefox Extended Support Release anteriors a la 128.10.1.
Totes les versions de Firefox Extended Support Release anteriors a 115.23.1.

Recomanacions

Es recomana actualitzar a l’última versió de l’aplicació.

Referències

• • https://thehackernews.com/2025/05/firefox-patches-2-zero-days-exploited.html

Adobe ha llançat una actualització de seguretat crítica que aborda almenys 39 vulnerabilitats en diversos productes, incloent Adobe ColdFusion, Photoshop, Illustrator, Lightroom, Dreamweaver, Connect, InDesign, Substance 3D Painter, Bridge i Dimension.

Anàlisi

Les vulnerabilitats identificades abasten una varietat de productes i afecten tant plataformes Windows com macOS. L’explotació exitosa d’estes falles podria permetre a atacants executar codi arbitrari, eludir funcions de seguretat, accedir a informació sensible o causar interrupcions en el servici. Adobe ha assenyalat que no té coneixement que estes vulnerabilitats hagen sigut explotades activament abans de la disponibilitat dels pegats.

Per a més informació sobre les vulnerabilitats es recomana consultar el butlletí de seguretat d’Adobe.

Recursos afectats

• • Adobe ColdFusion: versions CF2023: fins a la 2023.0.1.314 i CF2021: fins a la 2021.0.10.314.
  • Adobe Photoshop: versions 2023 fins a la 24.7.3 i 2024: fins a la 25.9.1.
  • Adobe Illustrator: No s’han especificat versions.
  • Adobe Lightroom: No s’han especificat versions.
  • Adobe Dreamweaver: No s’han especificat versions.
  • Adobe Connect: No s’han especificat versions.
  • Adobe InDesign: No s’han especificat versions.
  • Adobe Substance 3D Painter: No s’han especificat versions.
  • Adobe Bridge: No s’han especificat versions.
  • Adobe Dimension: No s’han especificat versions.

Recomanacions

Adobe recomana que els usuaris i administradors de sistemes apliquen les actualitzacions corresponents sense demora.

• • Adobe ColdFusion: CF2023: 2023.0.1.315  i CF2021: 2021.0.10.315
  • Adobe Photoshop: 2023: 24.7.4 i 2024: 25.11
  • Adobe Illustrator: Actualització disponible en el lloc oficial
  • Adobe Lightroom: Actualització disponible en el lloc oficial
  • Adobe Dreamweaver: Actualització disponible en el lloc oficial
  • Adobe Connect: Actualització disponible en el lloc oficial
  • Adobe InDesign: Actualització disponible en el lloc oficial
  • Adobe Substance 3D Painter: Actualització disponible en el lloc oficial
  • Adobe Bridge: Actualització disponible en el lloc oficial
  • Adobe Dimension: Actualització disponible en el lloc oficial

Les versions corregides específiques poden variar segons el producte i la plataforma. Es recomana consultar el lloc oficial d’Adobe per a obtindre detalls precisos.

Referències

• • https://www.securityweek.com/adobe-patches-big-batch-of-critical-severity-software-flaws/