Daboweb | Seguridad y ayuda informática |

Está disponible una actualización de seguridad que corrige 25 vulnerabilidades en el navegador Google Chrome. Dicho update es aplicable a sistemas Windows, Mac y GNU/Linux aunque también se ha liberado una nueva versión para Android. Debido a las vulnerabilidades que solventa (ataques DoS, directorio transversal, posibles fugas de información) es más que aconsejable su inmediata actualización.

Tal y como informan en el hilo oficial del foro de soporte, se encuentra disponible una actualización catalogada como crítica para SMF Forum. Se han corregido varias vulnerabilidades de diferente impacto para el sistema de foros y es más que aconsejable actualizar con brevedad vía el administrador de paquetes a la versión 2.0.5.

Se encuentran disponibles desde Microsoft las actualizaciones o boletines de seguridad publicados para Agosto de 2013.

En esta ocasión, se compone de  8 actualizaciones de seguridad, 3 catalogadas como críticas y 5 como importante que vienen a solventar varias vulnerabilidades que entre otras, podrían permitir la elevación de privilegios, ejecución remota de código, denegación de servicio, divulgación de información, etc. en los sistemas no actualizados.

La actualización se encuentra disponible desde el propio update automático de Windows o bien, mediante su descarga manual y posterior instalación. Como siempre, recomendamos actualizar los sistemas a la mayor brevedad posible.

También y como cada mes, está disponible una nueva actualización del programa de eliminación de software malintencionado. Esta herramienta no es un sustituto del antivirus, busca infecciones causadas por software malintencionado específico que actualmente existe en equipos con Windows XP, Windows 2000, Windows Server 2003, Windows Vista y 7 instalado y ayuda a eliminarlas.

# Boletín y descarga de actualizaciones de Agosto de 2013.

El equipo de Joomla! recupera viejas costumbres y a pocos días de la actualización anterior de mantenimiento publican una nueva de seguridad para las ramas 3.1 y 2.5 (nosotros llegamos con un pelín de retraso sobre la fecha de publicación). En concreto, está lista para descargar la versión 3.1.5 que corrige un problema de seguridad y otros siete errores.

También se ha liberado la versión 2.5.14 que corrige el mismo problema de seguridad que su hermana mayor y sin ningún otro añadido.

El problema de seguridad está reportado como de prioridad crítica por lo que es muy importante actualizar a la mayor brevedad posible, os recomendamos en ambos casos leer con detalle los dos post del anuncio de las nuevas versiones de Joomla!, tanto para instalaciones limpias como para actualizaciones desde versiones anteriores.

Tal y como nos hacen llegar desde la organización del «Criptoreto RSA«:

En el siguiente documento pdf se detalla el Criptoreto RSA que los autores del libro «Cifrado de las comunicaciones digitales. De la cifra clásica al algoritmo RSA» de la editorial 0xWORD, Alfonso Muñoz y Jorge Ramió, presentan a los interesados en estos temas. http://www.criptored.upm.es/paginas/criptoretoRSAjulio2013.pdf

El ganador o ganadora del reto será la primera persona que obtenga el mensaje en claro y documente brevemente el procedimiento seguido. Obtendrá un ejemplar gratuito del citado libro con gastos de envío por cuenta de los autores.

Mucha suerte a los que se presenten.

Actualización: Pasadas tres horas y 19 minutos desde su publicación, se recibe la primera respuesta al Criptoreto RSA con la solución del reto encontrando el mensaje secreto M = Save Edward Snowden! y entregada por Alfredo Beaumount, de Araba, España. En el mismo documento del criptoreto se incluyen comentarios al mismo, las posibles soluciones y próximos retos. Reto y comentarios posteriores: http://www.criptored.upm.es/paginas/criptoretoRSAjulio2013.pdf Solución del ganador: http://www.criptored.upm.es/descarga/writeup-alfredo-beaumont.pdf

Un mes más, os recomendamos el recopilatorio de entradas publicadas en Daboweb en Junio de 2013 por si en el día a día de la publicación alguna que pudiera interesarte, se te ha pasado por alto.

Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivo de contenidos publicados).

• 25: [Breves] Firefox 22, disponible para Windows, GNU/Linux y Mac OS X
• 22: WordPress 3.5.2 Actualización de seguridad y mantenimiento
• 16: Revista gratuita fotográfica Foto DNG 82, Junio 2013
• 14: Actualizaciones de Microsoft junio 2013
• 11: Mundo hacking. Conferencia UPM TASSI
• 05: Protección de comunicaciones en dispositivos móviles, Cript4you
• 05: Safari 6.0.5, OS X Mountain Lion v10.8.4 y actualización de seguridad 2013-002
• 04: Autenticación en dos factores para Evernote y Linkedin.

Tal y como podemos leer en la lista de correo «Apple Security», se ha publicado la versión 10.8.4 de Mountain Lion y la actualización de seguridad 2013-002 que corrige múltiples vulnerabilidades para Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5, OS X Mountain Lion v10.8 a v10.8.3, etc.

Se recomienda aplicar los parches y mejoras en el software que incluye Lion 10.8.4 y la actualización de seguridad 2013-002 a la mayor brevedad posible debido al impacto en el sistema que puede tener la explotación de los fallos localizados. Podéis aplicar las descargas vía el menú «Actualización de software».

Junto a las actualizaciones de OS X, llega la versión del navegador Apple Safari 6.0.5 que corrige un gran número de vulnerabilidades localizadas principalmente en «Webkit». Esta versión de Safari está disponible para OS X Lion y Mountain Lion y os recomendamos actualizar también con rapidez. Descarga de Safari 6.0.5.

Siguiendo el camino de compañías como Google, Dropbox o recientemente Twitter, la autenticación en dos factores (o pasos) llegó también a Evernote el pasado día 30 de mayo (recordemos que sufrió no hace mucho una intrusión que en teoría, afectó a casi 50 millones de usuarios). De momento, sólo será efectiva en cuentas Premium y Bussines. Más adelante y cuando (según ellos) tengan depurados sus procesos para ofrecer con garantías el servicio a toda la base de usuarios, lo implementarán en las cuentas gratuitas. Lo que sí se puede ver desde ya, es una nueva opción denominada "Access History", desde la que se puede comprobar la actividad de la cuenta, dispositivos desde los que se ha conectado y direcciones IP (función habilitada para todo tipo de cuentas).

Del mismo modo, tal y como podemos leer en Bitelia, también se ha habilitado este sistema de seguridad adicional en Linkedin (un password que llega vía SMS, para introducirlo además del que se usa normalmente para acceder al servicio en cuestión). Por poner un ejemplo, en Dropbox se puede usar cada vez que se enlace o vincule un nuevo dispositivo. En uno de los pasos, se le envía al usuario por un SMS al móvil una clave (de un sólo uso, «OTP», acrónimo de One Time Password) para validar su acceso y verificar que ese PC, móvil o Tablet, tiene realmente permisos para ello.

Nos hacemos eco a través del Twitter de Luis Delgado, de la publicación por parte del CNN-STIC, enmarcado en el ámbito de «Guías de seguridad en las TIC» (tecnologías de la información y comunicación), de la publicación en formato PDF de 3 guías para promover un uso seguro en dispositivos Android, iPhone e iPad (enlaces a las descargas).

Las 3 guías son muy completas y algún caso llegan a las 200 páginas. En ellas, intentan abarcar muchos de los problemas de seguridad más comunes en este tipo de dispositivos y cómo paliarlos. No está de más recordar que muchos atacantes ya buscan estos vectores de entrada, debido al alto uso de los mismos y un cierto desconocimiento general.

El pasado fin de semana y de la mano de «@_Angelucho_» (y sus amigos) se llevaron a cabo las primeras jornadas «X1RedMasSegura» en Madrid. Ya están disponibles los vídeos y presentaciones del evento. Cabe destacar el gran esfuerzo colectivo para acercar conceptos de seguridad complejos en un formato «para todos los públicos» (al estilo de nuestro blog hermano «Básico y fácil«), orientado a grupos de personas más vulnerables a la gran cantidad de ataques que sufrimos día a día desde múltiples vías.

También os recomendamos escuchar la entrevista que le realizaron a Ángel en «Ventanas en la Red» de Radio3W«. Allí podréis escuchar que pronto verá la luz su libro en formato electrónico de forma gratuita (se ha agotado la edición en papel). Lo dicho, enhorabuena por la iniciativa y todo nuestro apoyo desde aqui.

Acceso a los Vídeos, presentaciones y toda la información en el Blog de Angelucho.

Una vez más, nos hacemos eco de la publicación de una nueva lección en el aula virtual de Cript4you, dentro del Curso de privacidad y protección de comunicaciones digitales.

En esta ocasión y en su lección 3 se aborda el tema «Comunicaciones seguras mediante mensajería instantánea».

Tal y como podemos leer en la publicación original:

En esta lección se analizan varios protocolos de mensajería instantánea profundizando en diferentes aspectos relacionados con su seguridad asociada y se realizan recomendaciones para la configuración de comunicaciones seguras mediante herramientas de software libre y OTR.

Este es el temario tratado.

Apartado 1. Introducción
Apartado 2. Arquitectura general
Apartado 3. Protocolo MSNP
Apartado 4. Skype
Apartado 5. Protocolo OSCAR
Apartado 6. Protocolo YMSG
Apartado 7. Ejemplos de protocolos seguros que han sido propuestos
Apartado 8. Análisis de seguridad
Apartado 9. XMPP
Apartado 10. OTR
Apartado 11. PIDGIN
Apartado 12. Referencias

# Acceso a la 3ª lección.

Una vez más, nos hacemos eco de la publicación de una lección en el MOOC de Cryp4you. En esta ocasión, se aborda un tema de gran importancia para la privacidad del usuario como el cifrado de discos. La Lección (muy recomendable) está impartida por Román Ramírez, Responsable de Seguridad en Arquitecturas, Sistemas y Servicios en Ferrovial y fundador del congreso de seguridad Rooted CON..

Tal y como podemos leer en la publicación original:

En esta lección se introduce a los conceptos básicos para la protección de la información almacenada en discos duros y soportes similares mediante las herramientas más potentes en esta temática. Se realizan diferentes recomendaciones de protección y se realiza un proceso guiado para la utilización del software TrueCrypt.

Acceso a la segunda lección.

El equipo de Joomla acaba de anunciar la disponibilidad de las nuevas versiones de la rama 3.x y 2.x. En concreto, está lista para descargar la versión 3.1.0 con una gran cantidad de bugs solventados (242) en cuanto al funcionamiento  en general del CMS. Dentro de las actualizaciones, se incluyen 7 parches relativos a la seguridad que afectaban a versiones anteriores.

También se ha liberado la versión 2.5.10 como «Actualización de seguridad», por lo que es más que recomendable aplicar la actualización a la mayor brevedad posible. Os recomendamos en ambos casos leer con detalle los dos post del anuncio de las nuevas versiones de Joomla.

Apple acaba de poner a disposición de los usuarios la descarga de Safari 6.0.4 para OS X Lion y Mountain Lion, así como para Java. Debido al impacto en el sistema de los bugs que se han solventado, recomendamos actualizar a la mayor brevedad posible.

Info ampliada de la lista oficial de Apple

Continue reading…

Según podemos leer en el blog de Adobe destinado a cuestiones de seguridad (ENG), se han publicado como actualizaciones de seguridad, nuevas versiones del reproductor Flash Player para sistemas Windows, GNU/Linux, Mac OS X y Android.

Estos parches de seguridad, solventan varios bugs localizados en el software, siendo por tanto más que recomendable su inmediata actualización ya que bajo determinadas circunstancias, su explotación podría derivar en un fallo del sistema, pudiendo hacerse con su control por parte de potenciales atacantes.

Manual para comprobar la versión de Flash Player instalada.

Más información y versiones afectadas, (ENG) | Centro de descarga de Adobe Flash Player.