Daboweb | Seguridad y ayuda informática |

Se encuentran disponibles desde Microsoft las actualizaciones o boletines de seguridad publicados para octubre de 2015.

En esta ocasión, 6 actualizaciones de seguridad que solventan varias vulnerabilidades que, entre otras, podrían permitir la ejecución remota de código, elevación de privilegios, etc. en los sistemas no actualizados.

La actualización se encuentra disponible desde el propio update automático de Windows o bien, mediante su descarga manual y posterior instalación. Como siempre, recomendamos actualizar los sistemas a la mayor brevedad posible.

También y como cada mes, está disponible una nueva actualización del programa de eliminación de software malintencionado. Esta herramienta no es un sustituto del antivirus, busca infecciones causadas por software malintencionado específico que actualmente existe en equipos con Windows instalado y ayuda a eliminarlas.

Como siempre, insistimos en la importancia de mantener el sistema operativo y los programas actualizados, por tanto, recomendamos actualizar los sistemas a la mayor brevedad posible.

# Boletín y descarga de las actualizaciones.

Se encuentran disponibles desde el Centro Criptológico Nacional (CCN) 3 nuevas guías CCN-STIC que puedes descargar en formato pdf.

Os recordamos que Las Series CCN-STIC son normas, instrucciones, guías y recomendaciones desarrolladas por el Centro Criptológico Nacional con el fin de mejorar el grado de ciberseguridad de las organizaciones.

Las nuevas guías son:

• CCN-STIC-423 Indicadores de Compromiso.

• CCN-STIC-424 Intercambio de Información de Ciberamenazas. STIX-TAXII.

• CCN-STIC-425 Ciclo de Inteligencia y Análisis de Intrusiones.

Un mes más, os recomendamos el recopilatorio de entradas publicadas en Daboweb en Septiembre de 2015 por si en el día a día de la publicación alguna que pudiera interesarte, se te ha pasado por alto.

Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivo de contenidos publicados).

Septiembre 2015;

• 30: [Breves] IOS 9.0.2 solventa bug en pantalla de bloqueo (CVE-2015-5923)
• 30: [Breves] foros SMF 2.0.11, actualización de seguridad
• 15: WordPress 4.3.1, actualización de seguridad y mantenimiento
• 13: [Breves] phpBB 3.1.6, actualización de seguridad
• 09: [Breves] Disponible Joomla 3.4.4 (actualización de seguridad)
• 09: Actualizaciones de Seguridad Microsoft (Windows) septiembre 2015
• 03: Curvas elípticas en seguridad web. 2ª lección en el MOOC Criptografía con curvas elípticas de Crypt4you

El 03/09/2015 se ha publicado la segunda lección del curso de Criptografía con Curvas Elípticas en el MOOC de Crypt4you, con el título Curvas elípticas en seguridad web y siendo su autor el Dr. Francesc Sebé del Grupo de Investigación Cryptography & Graphs de la Universitat de Lleida.

En esta segunda lección se muestra cómo crear una clave pública certificada, en formato X.509, utilizando criptografía de curvas elípticas mediante la herramienta OpenSSL. Realiza además su instalación en un servidor web Apache2 y el acceso al servidor se lleva a cabo utilizando un navegador web Firefox.

La lección cuenta con los siguientes capítulos:
Apartado 2.1. Almacén de autoridades de certificación
Apartado 2.2. Creación de claves para criptografía de curvas elípticas
Apartado 2.3. Instalación del certificado
Apartado 2.4. Conexión segura con el servidor web
Apartado 2.5. Referencias bibliográficas

El curso consta de dos lecciones más que se publicarán próximamente: Lección 3. Criptografía con emparejamientos y  Lección 4. Protocolos criptográficos con curvas elípticas.

Acceso directo a la segunda lección: Curvas elípticas en seguridad web
http://www.criptored.upm.es/crypt4you/temas/ECC/leccion2/leccion2.html

Lecciones anteriores y otros cursos disponibles en el MOOC Crypt4you:
http://www.criptored.upm.es/crypt4you/portada.html

Grupo de investigación Cryptography & Graphs:
http://www.cig.udl.cat

Fuera del ciclo mensual de actualizaciones se encuentra disponible para su instalación desde el update de Microsoft, una actualización de seguridad para Windows en todas sus versiones.

Esta actualización crítica “MS-15-078 / KB-3079904″ viene a solventar una grave vulnerabilidad en la gestión de fuentes OpenType que podría permitir la ejecución remota de código.

La actualización se encuentra disponible desde el propio update automático de Windows o bien, mediante su descarga manual y posterior instalación desde este enlace de la web de Microsoft.

Como siempre, insistimos en la importancia de mantener el sistema operativo y los programas actualizados, por tanto recomendamos actualizar a la mayor brevedad posible.

Se encuentran disponibles desde Microsoft las actualizaciones o boletines de seguridad publicados para Julio de 2015.

En esta ocasión, 14 actualizaciones de seguridad que solventan varias vulnerabilidades que, entre otras, podrían permitir la ejecución remota de código, elevación de privilegios, etc. en los sistemas no actualizados.

La actualización se encuentra disponible desde el propio update automático de Windows o bien, mediante su descarga manual y posterior instalación. Como siempre, recomendamos actualizar los sistemas a la mayor brevedad posible.

También y como cada mes, está disponible una nueva actualización del programa de eliminación de software malintencionado. Esta herramienta no es un sustituto del antivirus, busca infecciones causadas por software malintencionado específico que actualmente existe en equipos con Windows instalado y ayuda a eliminarlas.

Como siempre, insistimos en la importancia de mantener el sistema operativo y los programas actualizados, por tanto, recomendamos actualizar los sistemas a la mayor brevedad posible.

# Boletín y descarga de las actualizaciones.

Se encuentran disponibles desde Microsoft las actualizaciones o boletines de seguridad publicados para Junio de 2015.

En esta ocasión, 8 actualizaciones de seguridad que solventan varias vulnerabilidades que, entre otras, podrían permitir la ejecución remota de código, elevación de privilegios, etc. en los sistemas no actualizados.

La actualización se encuentra disponible desde el propio update automático de Windows o bien, mediante su descarga manual y posterior instalación. Como siempre, recomendamos actualizar los sistemas a la mayor brevedad posible.

También y como cada mes, está disponible una nueva actualización del programa de eliminación de software malintencionado. Esta herramienta no es un sustituto del antivirus, busca infecciones causadas por software malintencionado específico que actualmente existe en equipos con Windows instalado y ayuda a eliminarlas.

Como siempre, insistimos en la importancia de mantener el sistema operativo y los programas actualizados, por tanto, recomendamos actualizar los sistemas a la mayor brevedad posible.

# Boletín y descarga de las actualizaciones.

Se encuentran disponibles desde Microsoft las actualizaciones o boletines de seguridad publicados para Mayo de 2015.

En esta ocasión, 13 actualizaciones de seguridad que solventan varias vulnerabilidades que, entre otras, podrían permitir la ejecución remota de código, elevación de privilegios, denegación de servicio, etc. en los sistemas no actualizados.

La actualización se encuentra disponible desde el propio update automático de Windows o bien, mediante su descarga manual y posterior instalación. Como siempre, recomendamos actualizar los sistemas a la mayor brevedad posible.

También y como cada mes, está disponible una nueva actualización del programa de eliminación de software malintencionado. Esta herramienta no es un sustituto del antivirus, busca infecciones causadas por software malintencionado específico que actualmente existe en equipos con Windows instalado y ayuda a eliminarlas.

Como siempre, insistimos en la importancia de mantener el sistema operativo y los programas actualizados, por tanto, recomendamos actualizar los sistemas a la mayor brevedad posible.

# Boletín y descarga de las actualizaciones.

Una vez más y debe ser la enésima, mediante una falsa devolución fiscal de la Agencia Tributaria (AEAT) se trata de estafar a los usuarios. Y es que se estarían recibiendo correos electrónicos en los que nos indicarían que tenemos el importe de la devolución de la campaña de la renta actual a nuestra disposición pero que, debemos completar algunos datos personales para poder realizar el cobro.

Como es evidente y así lo explicábamos ya en nuestra entrada de seguridad básica sobre los correos electrónicos fraudulentos como norma general o consejo, no debemos dar nunca nuestros datos personales o bancarios y tampoco debemos pinchar sobre los enlaces que nos envían.

Volvemos a insistir en lo que ya hemos indicado en multitud de ocasiones anteriormente, y es que, La Agencia Tributaria NO SOLICITA información confidencial, ni números de cuenta, ni números de tarjeta de los contribuyentes, etc., por correo electrónico.

Recuerda tomar las mediadas de precaución adecuadas para evitar caer en este tipo de estafas. En este caso es la campaña de la renta que ha comenzado recientemente pero suele ser diario las falsas ofertas de trabajo, premios o loterías que nos tocan sin jugar, falsas facturas de compra, etc etc.

Apple ha publicado múltiples actualizaciones de seguridad que os recomendamos aplicar con brevedad debido al número de vulnerabilidades que solventan.

La cuarta actualización de seguridad de 2015 ya está disponible desde la Apple Store, también la versión 10.10.3 de OS X Yosemite, así como la versión 7.2 de Apple TV que se ofrece como actualización de seguridad.

A continuación, nos hacemos eco de la información técnica que aporta Apple sobre estas actualizaciones:

Continue reading…

Al igual que nuestros colegas de Security By Default o Flu Project, nos hacemos eco del llamamiento por parte de la organización del congreso de seguridad QurtubaCON en busca de patrocinio para este evento gratuito que se celebrará los días 10 y 11 de abril en Córdoba.

Un Congreso avalado por los organizadores de los exitosos «Hack & Beers» y gente con reconocido prestigio en el sector de la seguridad como son Miguel Arroyo, Eduardo Sánchez, Enrique Palacios y María José Montes.

Allí estará entre otros participantes, nuestro compañero Dabo impartiendo un taller sobre seguridad en servidores GLAMP junto a esta lista de ponentes: Juan Garrido, Daniel Medianero, Ángel Pablo Avilés, Óscar de la Cruz, Juan Antonio Calles, Pablo González, Jorge Corona, Lorenzo Martínez, Ruth Sala, Miriam García y Susana González.

Os podéis imaginar hoy en día lo que supone poner en marcha algo así y los recursos que hacen falta para afrontarlo con garantías (gastos de viaje, alojamiento y manutención, un dato, ninguno de los ponentes cobra por asistir). Creemos que estas iniciativas son muy necesarias en pro de acercar el mundo de la seguridad a zonas del País en las que no es habitual ver congresos como este, por lo que os animamos a colaborar con alguna de las (económicas) opciones de patrocinio existentes.

Gracias por adelantado y suerte con el Congreso

Ya hay fechas para las terceras Jornadas X1RedMasSegura en colaboración con diversas Asociaciones, empresas y profesionales de la seguridad, en pro de acercar al gran público la problemática a la que se pueden enfrentar en Internet en muy diversos ámbitos.

Las Jornadas de seguridad se celebrarán el 22 y 23 de mayo, en el Salón de Actos de la Escuela Técnica Superior de Ingenieros de Telecomunicación de la Universidad Politécnica de Madrid (ETSIT-UPM).

Durante estos dos días se tendrá la oportunidad de escuchar a verdaderos profesionales de la Seguridad traduciendo sus conocimientos y experiencias para hacerlas llegar a los usuarios finales de Internet con la finalidad de hacer más sencillo su paso en la Red, tan presente hoy en día en nuestras vidas.

Una iniciativa que merece todo nuestro apoyo, ya que está hecha por y para los usuarios, sin ningún ánimo de lucro y con gran esfuerzo e ilusión por parte de sus organizadores.

Por supuesto, no podemos dejar de recomendar el libro de Angelucho, con el mismo título, disponible de forma gratuita en varios formatos.

# Más información en X1RedMasSegura.

Se encuentran disponibles desde Microsoft las actualizaciones o boletines de seguridad publicados para Febrero de 2015.

En esta ocasión, 9 actualizaciones de seguridad que solventan varias vulnerabilidades que, entre otras, podrían permitir la ejecución remota de código, elevación de privilegios,  etc. en los sistemas no actualizados.

La actualización se encuentra disponible desde el propio update automático de Windows o bien, mediante su descarga manual y posterior instalación. Como siempre, recomendamos actualizar los sistemas a la mayor brevedad posible.

También y como cada mes, está disponible una nueva actualización del programa de eliminación de software malintencionado. Esta herramienta no es un sustituto del antivirus, busca infecciones causadas por software malintencionado específico que actualmente existe en equipos con Windows instalado y ayuda a eliminarlas.

Como siempre, insistimos en la importancia de mantener el sistema operativo y los programas actualizados, por tanto recomendamos actualizar a la mayor brevedad posible.

# Boletín y descarga de las actualizaciones.

Tan sólo recordaros que Apple puso ayer a disposición de los usuarios múltiples actualizaciones de seguridad en iOS, OS X, Safari y Apple TV. Dichas actualizaciones solventan vulnerabilidades de todo tipo en versiones anteriores de software, por lo que os recomendamos encarecidamente aplicarlas.

Podéis informaros sobre cada de ellas en la siguiente tabla (Fuente Apple).

De todos es sabido que este tipo de servicios tan usados, no están para nada exentos de posibles problemas de seguridad, fugas de información o, según que casos, vulneración de la privacidad de los usuarios.

Para este día dedicado a la protección y seguridad de datos personales, os recomendamos leer un análisis muy completo en formato PDF sobre la seguridad de Mega y Dropbox  que consta de 54 páginas y que ha sido creado por incibe (recordad, antiguo INTECO).

En él, se va profundizando en cuestiones tan importantes como: Tipo de registro, almacenamiento, cifrado, opciones de compartición, borrado, etc.

Acceso al análisis, en el sitio web de incibe.