Cuentas que se han vendido por unos 1800 eur. El gigante Yahoo acaba de reconocer (suponemos que forzados y tarde por cierto) que en 2014 les hackearon 500 millones de cuentas en lo que es hasta el día de hoy la mayor brecha de seguridad registrada en la historia.

Afirman que no llegaron a hacerse con datos de tarjetas de crédito pero sí con el resto de datos personales (emails, passwords, fechas de nacimiento, etc) Es por ello que os recomendamos cambiar lo antes posible vuestros passwords de acceso. Fuente: El País.

El equipo de Drupal acaba de publicar una nueva actualización para la rama 8 con correcciones para vulnerabilidades de seguridad de consideración crítica (info).

El mantenimiento de la rama 8.1.x termina aquí, las siguientes versiones empezarán con la nueva 8.2.x

Por supuesto se recomienda actualizar a la mayor brevedad posible.

8.1.10: Notas de la versión.

Noticia original.

20 días después del lanzamiento de la versión 4.6, el equipo de WordPress lanza una nueva versión etiquetada como la 4.6.1 que además de mejoras en el funcionamiento a nivel general, solventa dos fallos de seguridad (un XSS vía el nombre de las imágenes y una vulnerabilidad de path transversal relacionado con la subida de ficheros).

Es por ello, que os recomendamos actualizar vuestras instalaciones lo antes posible si no han sido actualizadas de forma automática al tratarse de una actualización de seguridad. Información original

La versión 4.6 de WordPress, llamada “Pepper” en honor al saxofonista Park Frederick “Pepper” Adams III, está disponible para su descarga o actualización desde el panel de administrador de WordPress.

Esta nueva versión incorpora bastantes novedades, entre ellas la actualización, instalación y borrado de temas, plugins, etc, en segundo plano sin abandonar la pantalla en la que te encuentres. Fuentes nativas, mejora del autoguardado, detección de enlaces rotos en el editor, traducciones facilitadas por la comunidad y otra serie de mejores de las nombradas como “bajo el capó”, librerías, etc …

Se puede ver una lista completa de novedades en la correspondiente página del codex.

Noticia en WordPress. Os recomendamos nuestra guía rápida para actualizar WordPress de forma manual si lo hacéis vía FTP por ejemplo, o sin usar la opción del panel.

El “que lo hay” del final del título, es sólo para dejar claro que aunque el grado de incidencias del malware en Mac OS sea menor que en plataformas como Windows, también le afecta y en mayor medida a partir del año 2014 que es cuando empieza a repuntar de forma significativa.

En el Blog del CERTSI, además de un resumen del estado del Malware en Mac OS, han publicado un interesante artículo con herramientas que os pueden resultar de utilidad en el caso de infectaros con algún software malicioso y también, para tener más controlados los procesos del sistema y el estado del mismo.

Algunas aplicaciones mencionadas:

KnockKnock

Esta herramienta realiza un escaneo del sistema en busca de software instalado de forma persistente y que no se encuentra entre los objetos reconocidos del sistema. Busca extensiones del kernel, programas que se ejecutan al arranque o librerías dinámicas entre otros.

BlockBlock

Con una funcionalidad similar a la herramienta anterior, BlockBlock actúa de modo continuo y verifica automáticamente y de forma periódica, la aparición  de nuevo software permanente como demonios  de arranque o agentes. En caso de detección se notifica su existencia al usuario para decidir el bloqueo o bien, permitir la ejecución.

Task Explorer

Como alternativa al monitor de actividad de Mac OS, Task Explorer proporciona una visión más profunda de los procesos en ejecución y sus relaciones con recursos del sistema. Permite seguir de forma más directa e intuitiva el entorno en que se está ejecutando un proceso y verifica con Virus Total su posible origen malicioso.

RamsonWhere

Esta aplicación monitoriza la aparición de ficheros cifrados en el sistema, alertando al usuario para detener el proceso lo antes posible. Es de gran utilidad como medida reactiva ante una infección con ransomware.

KextViewr

Esta utilidad se orienta al análisis del propio sistema operativo y facilita mucho la verificación de módulos (extensiones) del kernel del sistema. Proporciona de forma intuitiva y directa información sobre los ficheros relacionados y verifica la firma digital. Igualmente integra una verificación de los mismos con VirusTotal.

En relación a la última actualización de la versión 3.6 se ha lanzado una nueva actualización que corrige los problemas detectados en el anterior update. Corrige asimismo un par de errores más.

Es muy recomendable actualizar, especialmente los que no actualizasen a la 3.6.1 esperando una nueva actualización.

Anuncios oficiales: 3.6.2.

Llega el primer update de la versión 3.6 de Joomla! y lo hace con algunas complicaciones y consideración de actualización de seguridad. Esta versión corrige un problema de seguridad de prioridad media y dos de nivel bajo. Además corrige algunos errores de versiones precedentes y alguna actualización como el editor TinyMCE a la versión 4.4.0

Por lo visto esta nueva actualización lleva un token adicional de seguridad para chequear CSRF que por lo visto no funciona correctamente en todas las versiones. En resumidas cuentas los que ya hayan conseguido actualizar a la versión 3.6.1 tienen que ir a la herramienta de bases de datos y darle a corregir para evitar posibles problemas.

Para los que tengan problemas hay un script para una actualización “manual” (para todas las versiones desde la 2.5.4) en github.

Más info: Joomla! 3.6.1 Update, Joomla! 3.6.1 Released.

En esta entrada queremos reseñar este extracto del artículo publicado por Josep Albors, con el que coincidimos plenamente y del que os recomendamos su lectura.

“Es vital que todas las empresas con algún tipo de servicio online a su cargo, sean grandes o pequeñas, realicen auditorías periódicas que los ayuden a descubrir fallos antes de que lo hagan los delincuentes y los aprovechen.

En este punto los hackers tienen mucho que decir, puesto que no son pocas las ocasiones en las que encuentran un fallo en algún servicio pero a la hora de contactar con los responsables no obtienen respuesta, esta no es la adecuada o directamente se les acusa de atacar sus sistemas.”

Leer el artículo completo.

El equipo de Drupal acaba de publicar una nueva actualización para la rama 8 que corrige una vulnerabilidad de seguridad catalogada como muy crítica (SA-CORE-2016-003). Además la versión también está considerada como de mantenimiento con cambios para el .htaccess y web.config (ver notas de la versión).

Por supuesto se recomienda actualizar a la mayor brevedad posible.

8.1.7: Notas de la versión.

Noticia original.

El equipo de Joomla! acaba de anunciar el lanzamiento de Joomla! 3.6. Esta nueva versión incorpora unas 400 mejoras de todo tipo, haciendo especial hincapié en la mejora de experiencia de usuario (UX).

Se puede actualizar únicamente el núcleo, pudiendo sobreescribir cualquier archivo modificado y del mismo revertirlos al estado predeterminado.

Añadido menú ACL. Funciones de bloqueo añadidas a menús para determinados grupos de usuarios.

Toda la información en las FAQ de esta versión. Noticia original.