Daboweb | Seguridad y ayuda informática |

Un mes más, os recomendamos el recopilatorio de entradas publicadas en Daboweb en septiembre de 2013 por si en el día a día de la publicación alguna que pudiera interesarte, se te ha pasado por alto.

Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivo de contenidos publicados).

• 29: phpBB 3.0.12 disponible, urge actualizar
• 28: Problemas para IOS 7.0.2, nuevo bug con pantalla bloqueada
• 26: Disponible iOS 7.0.2 (solventa los bugs con pantalla bloqueada – Passcode Lock)
• 24: Curso de privacidad en Cript4you. Lección 6. Malware: orígenes y evolución
• 18: [Breves] IOS 7 disponible (solventa 80 vulnerabilidades)
• 18: [Breves] Disponible iTunes 11.1 (actualización de seguridad)
• 13: Actualización de seguridad 2013-004 (Snow Leopard / Lion) y OS X 10.8.5 Mountain Lion
• 12: WordPress 3.6.1, actualización de mantenimiento y seguridad
• 04: IPv6 (Parte 03) – “Encabezado”, por Alejandro Corletti

El equipo de desarrollo del sistema de foros phpBB acaba de publicar la versión 3.0.12 que solventa varios fallos de seguridad de importancia por lo que recomiendan parchear instalaciones anteriores de forma urgente.

También han actualizado la lista de bots/spyders, se ha mejorado la compatibilidad con versiones de PHP más recientes, el soporte de búsquedas «fulltext» en MySQL / InnoDB, hay mejoras en el medidor de passwords, la aprobación de temas desde el centro de moderación, etc.

Lista completa de cambios.

Está claro que a Apple con IOS 7 en cuanto a la seguridad de sus disposivos con la pantalla bloqueada, no está dando con la solución definitiva.

Hace 2 días publicamos que IOS 7.02 solventaba varios bugs (acceso a datos, carrete, llamadas, etc) y hoy os informamos que, aunque no de una forma tan sencilla, sigue habiendo una forma de acceder a la agenda y realizar llamadas con el terminal bloqueado a través de Siri y FaceTime.

Por lo que es de esperar que en breve saldrá una actualización que lo solvente.

Desde la lista de correo «Apple Security» nos llega el aviso del lanzamiento de una actualización de seguridad para dispositivos IOS, bajo la numeración «7.0.2». Se corrige el bug que permitía realizar llamadas saltándose el código de bloqueo a través de la función «llamada de emergencia» y varios intentos fallidos.

También otro que permitía acceder, editar y compartir fotografías o acceder a otros datos como las aplicaciones usadas recientemente. Os recomendamos actualizar con brevedad vía iTunes o desde el dispositivo (Ajustes – General ).

Continue reading…

Desde la lista de correo «Apple Security» nos llega el aviso de la nueva versión de IOS (7). Más allá de las nuevas funcionalidades que incorpora el sistema operativo para dispositivos móviles y tablets de Apple, queremos reseñar que es una actualización de seguridad prioritaria debido al alto número de vulnerabilidades (sobre 80) que solventa en versiones anteriores de software.

Dicha actualización está disponible bien desde iTunes o desde el propio dispositivo (Menú ajustes, General y actualización de software).

A continuación, publicamos la lista completa de bugs y los CVE corregidos

Continue reading…

Apple ha puesto a disposición de los usuarios de sistemas Windows (7, Vista y XP SP2 o posterior) una nueva versión de iTunes (11.1). Dicha entrega del software solventa una vulnerabilidad explotable visitando una página manipulada para tal fin que derivaría en cierres inesperados de la aplicación o, en el peor de los casos, la ejecución arbitraria de código provocada por un error de corrupción de memoria en «iTunes ActiveX».

La actualización está disponible en el sitio de descargas de Apple.

Junto a una actualización de seguridad en Safari para Snow Leopard (5.1.10), Apple ha puesto a disposición de los usuarios la actualización de seguridad 2014-004 para OS X  Snow Leopard y Lion (server y escritorio).

Debido al número de vulnerabilidades que solventan, es más que aconsejable actualizar los sistemas a la mayor brevedad posible (están disponibles vía el menú actualización de software, o desde los enlaces inferiores).

Security Update 2014-004

OS X 10.6 Snow Leopard | OS X 10.6 Snow Leopard Server | OS X 10.7 Lion | OS X 10.7 Lion Server

Junto a estas correcciones, también se ha publicado una actualización para Mountain Lion (OS X 10.8.5) que solventa de igual forma varios fallos en su funcionamiento a nivel general, hay mejoras en rendimiento y también trae consigo mejoras en cuestiones de seguridad (Mail, AFP sobre Wifi, Xsan, salvapantallas, etc). De igual forma, se aconseja actualizar con rapidez.

Acaba de publicarse en el blog de desarrollo de WordPress, el anuncio de una nueva versión etiquetada como la 3.6.1 y que solventa 13 bugs respecto a la entrega anterior (3.6). Está catalogada como “Actualización de Seguridad” y recomiendan aplicarla de forma inmediata.

Se han corregido 3 bugs de un impacto mayor (uno relacionado con PHP que podría derivar en la ejecución de código, otro con los roles de autor bajo el que se podría publicar un post con otro nombre y un error de validación de entrada que podría redirigir al usuario a otro sitio web), además de otro relacionado con la subida de ficheros y mitigar un potencial XSS.

La actualización, muy importante hacerla, está ya disponible desde el panel de administrador o desde WordPress y os recomendamos revisar tanto nuestra guía de actualización para WordPress, como esta entrada en DaboBlog sobre medidas de seguridad, plugins y WordPress.

Esto es más un recordatorio ya que hace quince días que se encuentra disponible para su descarga y actualización Drupal 7.23, versión de mantenimiento que corrige un número importante de errores (ninguno considerado de seguridad) y que podeis consultar en el enlace de debajo para más detalles (en inglés). Las cosas del verano nos han despistado y por poco se nos escapa xD

Nota oficial y descarga, info completa sobre la versión.

Tal y como informan en el hilo oficial del foro de soporte, se encuentra disponible una actualización catalogada como crítica para SMF Forum. Se han corregido varias vulnerabilidades de diferente impacto para el sistema de foros y es más que aconsejable actualizar con brevedad vía el administrador de paquetes a la versión 2.0.5.

Se encuentran disponibles desde Microsoft las actualizaciones o boletines de seguridad publicados para Agosto de 2013.

En esta ocasión, se compone de  8 actualizaciones de seguridad, 3 catalogadas como críticas y 5 como importante que vienen a solventar varias vulnerabilidades que entre otras, podrían permitir la elevación de privilegios, ejecución remota de código, denegación de servicio, divulgación de información, etc. en los sistemas no actualizados.

La actualización se encuentra disponible desde el propio update automático de Windows o bien, mediante su descarga manual y posterior instalación. Como siempre, recomendamos actualizar los sistemas a la mayor brevedad posible.

También y como cada mes, está disponible una nueva actualización del programa de eliminación de software malintencionado. Esta herramienta no es un sustituto del antivirus, busca infecciones causadas por software malintencionado específico que actualmente existe en equipos con Windows XP, Windows 2000, Windows Server 2003, Windows Vista y 7 instalado y ayuda a eliminarlas.

# Boletín y descarga de actualizaciones de Agosto de 2013.

El equipo de Joomla! recupera viejas costumbres y a pocos días de la actualización anterior de mantenimiento publican una nueva de seguridad para las ramas 3.1 y 2.5 (nosotros llegamos con un pelín de retraso sobre la fecha de publicación). En concreto, está lista para descargar la versión 3.1.5 que corrige un problema de seguridad y otros siete errores.

También se ha liberado la versión 2.5.14 que corrige el mismo problema de seguridad que su hermana mayor y sin ningún otro añadido.

El problema de seguridad está reportado como de prioridad crítica por lo que es muy importante actualizar a la mayor brevedad posible, os recomendamos en ambos casos leer con detalle los dos post del anuncio de las nuevas versiones de Joomla!, tanto para instalaciones limpias como para actualizaciones desde versiones anteriores.

En esta ocasión, os queríamos recomendar otro curso más de INTECO organizado por la OSI (Oficina de Seguridad del Internauta) con una temática tan interesante y necesaria hoy en día como la privacidad y seguridad para menores. Un campo en el que sin duda nos queda un largo camino por recorrer.

El curso (gratuito) se completa en 20 horas y no es necesaria una formación previa, información:

Internet es una herramienta muy útil y que los menores utilizan prácticamente para todo. El uso del ordenador es algo natural para ellos, la mayoría han tenido un ordenador en su casa desde que nacieron, por este motivo se les llama nativos digitales. Sin embargo, aunque su conocimiento de las nuevas tecnologías es muy bueno y realizan las cosas de forma prácticamente innata, muchas veces, no son conscientes de los peligros que se pueden encontrar en Internet. En este curso se explica el uso que los menores suelen hacer de Internet, qué peligros pueden entrañar cada una de esas actividades y cómo evitarlos. Este curso también pretende dar soporte a profesores y padres sobre cómo orientar a los menores en la realización del curso análogo para menores (también disponible en esta página), facilitándoles su gestión y seguimiento.

Acceso al curso (sólo es necesario crear una cuenta para el registro).

Según ha informado el proveedor de servicios de hosting OVH, han sufrido hace unas horas una incidencia de seguridad en su sede central. En concreto, esta es la información que han proporcionado a sus clientes:

Recientemente hemos encontrado una incidencia de seguridad en nuestra red interna de la sede central de OVH.

Nos hemos asegurado inmediatamente y encargado de las investigaciones. Hemos detectado que la base de datos de clientes en Europa ha podido ser ilegalmente copiada. Esta base comprende los siguientes datos: apellidos, nombre, nic-handle (identificador de cliente), dirección, ciudad, país, teléfono, fax y la contraseña cifrada. Los datos sobre tarjetas bancarias no se han visto afectados puesto que no son almacenados por OVH.

Incluso en el caso de que el cifrado de la contraseña de su identificador de cliente sea muy fuerte, le aconsejamos que la cambie lo antes posible.

Más información por parte de OVH.

Se encuentran disponibles desde Microsoft las actualizaciones o boletines de seguridad publicados para julio de 2013.

En esta ocasión, se compone de 7 actualizaciones de seguridad, 6 catalogada como críticas y 1 como importante que vienen a solventar varias vulnerabilidades que entre otras, podrían permitir la elevación de privilegios, ejecución remota de código, etc. en los sistemas no actualizados.

La actualización se encuentra disponible desde el propio update automático de Windows o bien, mediante su descarga manual y posterior instalación. Como siempre, recomendamos actualizar los sistemas a la mayor brevedad posible.

También y como cada mes, está disponible una nueva actualización del programa de eliminación de software malintencionado. Esta herramienta no es un sustituto del antivirus, busca infecciones causadas por software malintencionado específico que actualmente existe en equipos con Windows XP, Windows 2000, Windows Server 2003, Windows Vista y 7 instalado y ayuda a eliminarlas.

# Boletín y descarga de actualizaciones de julio de 2013.