Daboweb | Seguridad y ayuda informática |

Se encuentran disponibles para su descarga e instalación varias actualizaciones para productos de Adobe, que solucionan graves vulnerabilidades de sus productos, Adobe Reader, Adobe Acrobat y FlashPlayer, en versiones para Windows, Linux y Macintosh.

Como ya hemos mencionado en anteriores ocasiones, insistimos en la importancia de mantener el sistema operativo y los programas siempre actualizados, por lo que se recomienda actualizar a la mayor brevedad posible a las nuevas versiones publicadas en la web de Adobe.

En Adobe Reader y Adobe Acrobat están afectadas las siguientes versiones:

• Adobe Reader X y Acrobat X 10.1.3 y anteriores en Windows y Macintosh.

• Adobe Reader y Acrobat 9.5.1 y anteriores en Windows y Macintosh.

Además recordaros que cuentas con la posibilidad de utilizar aplicaciones alternativas para trabajar con archivos PDF, con las que podrás visionarlos, crearlos, manipularlos, protegerlos, desprotegerlos, cortarlos, etc.

En el caso de FlashPlayer se recomienda actualizar a la versión 11.3.300.271 en Windows y Macintosh y a la versión 11.2.202.238 para Linux.

Como todos los meses, os recordamos que ya se ha publicado por parte de Microsoft las actualizaciones o boletines de seguridad habituales, en este caso, para Agosto de 2012.

En esta ocasión, se compone de 9 boletines que solventan 5 vulnerabilidades críticas y 4 catalogadas por Microsoft como importantes.

La actualización se encuentra disponible desde el propio update automático de Windows o bien, mediante su descarga manual y posterior instalación. Debido al impacto sobre el sistema, os recomendamos actualizar los sistemas a la mayor brevedad posible. (Internet Explorer, servicios RDP, componentes de red, Exchange Server, controladores del Kernel, MS Office, Visio, etc,).

También y como cada mes, está disponible una nueva actualización del programa de eliminación de software malintencionado. Esta herramienta no es un sustituto del antivirus, busca infecciones causadas por software malintencionado específico que actualmente existe en equipos con Windows XP, Windows 2000, Windows Server 2003, Windows Vista y 7 instalado y ayuda a eliminarlas.

# Boletín y descarga de las actualizaciones de Agosto de 2012.

El equipo de Drupal ha liberado la versión 7.15 de su CMS como una versión de mantenimiento. En este caso, no se trata de una actualización de seguridad, aunque se solventan numerosos fallos encontrados en versiones anteriores, por lo que es más que recomendable su inmediata actualización.

Anuncio original (ENG) | Lista de cambios (ENG).

Hace unos días os informamos sobre la herramienta que Parallels a puesto a disposición de los usuarios para comprobar si sus paneles de administración web son vulnerables a varios bugs localizados hasta la fecha.

Hoy nos hacemos eco del aviso de seguridad que han hecho llegar a través de su lista de correo con el siguiente contenido para paneles Plesk 10.4.4 y anteriores (fuente y más información):

Parallels ha publicado un nuevo conjunto de microactualizaciones críticas para determinadas versiones de Parallels Plesk Panel 10.4 o versiones anteriores para así proporcionar correcciones funcionales y mejorar la estabilidad y seguridad – incluyendo componentes de terceros. La finalidad de esta notificación es animar a todos los clientes a aplicar estas microactualizaciones a la mayor brevedad posible.

Las versiones afectadas van desde la 8.2 hasta la 10.4 y es más que necesaria su inmediata actualización.

Al igual que en años anteriores, nos hacemos eco de la puesta en marcha de la No cON Name,  uno de los eventos sobre seguridad informática de mayor importancia que se celebran en nuestro país.

Ya está abierto un pre-registro para inscribirse por el cual se tendrá prioridad cuando se pongan a la venta las entradas.

Según podemos leer en la la nota de prensa que no hace llegar la organización:

Las fechas serán el 2 y 3 de noviembre en el complejo CosmoCaixa Barcelona de la fundación «la Caixa» (Calle Isaac Newton, 26, 08017, Barcelona). En estos momentos estamos arrancado el proceso de petición de ponencias (CFP) para el que encontrareis más información en el documento adjunto (contenidos propuestos, formato, plazos de entrega, personas de contacto, etc.). Asimismo, os informamos de que el pre-registro de inscripciones también está abierto.

Enlaces de interés:

Como todos los meses, os recordamos que ya se ha publicado por parte de Microsoft las actualizaciones o boletines de seguridad habituales, en este caso, para Julio de 2012.

En esta ocasión, se compone de 9 boletines que solventan 16 vulnerabilidades; 3 catalogadas como críticas, (más información en INTECO) afectando principalmente  a XML Core Services, Internet Explorer y Data Access Components .

La actualización se encuentra disponible desde el propio update automático de Windows o bien, mediante su descarga manual y posterior instalación. Debido al impacto sobre el sistema, os recomendamos actualizar los sistemas a la mayor brevedad posible. (Afecta a Windows 7, Vista, XP, 2003 y 2008 Server, MS Office, etc).

También y como cada mes, está disponible una nueva actualización del programa de eliminación de software malintencionado. Esta herramienta no es un sustituto del antivirus, busca infecciones causadas por software malintencionado específico que actualmente existe en equipos con Windows XP, Windows 2000, Windows Server 2003, Windows Vista y 7 instalado y ayuda a eliminarlas.

# Boletín y descarga de las actualizaciones de Julio de 2012.

Desde hace unos meses, estamos viendo como los ataques, bien por vulnerabilidades «0 Day» o ya publicadas, hacia servidores web con paneles de administración Plesk van en aumento..

Una forma sencilla de saber si tu panel es sensible a los últimos bugs que le afectan (ENG, sirva como ejemplo y algunos solventados de forma poco transparente en forma de «microupdates») es instalando y ejecutando este sencillo script en PHP que ha realizado Parallels (ENG).

Como recomendación, caso que el resultado revele que está pendiente de actualizar, además de aplicar el parche lo antes posible, frente a posibles intrusiones en días anteriores, es conveniente cambiar todos los passwords de acceso al propio Plesk, cuentas FTP, MySQL, etc.

Unos días después del lanzamiento de la versión 3.4 de WordPress con las novedades y mejoras que podéis leer en el enlace anterior, nos llega la 3.4.1, catalogada como actualización de mantenimiento y seguridad.

Concretamente, se han corregido 18 bugs (ENG) sobre la anterior versión y entre otras mejoras, desde WordPress destacan las siguientes:

• Fixes an issue where a theme’s page templates were sometimes not detected.
• Addresses problems with some category permalink structures.
• Better handling for plugins or themes loading JavaScript incorrectly.
• Adds early support for uploading images on iOS 6 devices.
• Allows for a technique commonly used by plugins to detect a network-wide activation.
• Better compatibility with servers running certain versions of PHP (5.2.4, 5.4) or with uncommon setups (safe mode, open_basedir), which had caused warnings or in some cases prevented emails from being sent.

Debido que se trata de una actualización de seguridad, se recomienda actualizar a la mayor brevedad posible, ya que como podemos leer en el anuncio original se solventan temas de importancia (hablando de algunas medidas de seguridad a nivel general, o que afectan a instalaciones «mutisitio» descubiertas y solventadas por el equipo de seguridad de WordPress).

Version 3.4.1 also fixes a few security issues and contains some security hardening. The vulnerabilities included potential information disclosure as well as an bug that affects multisite installs with untrusted users. These issues were discovered and fixed by the WordPress security team.

La actualización ya está disponible tanto desde vuestros paneles de administración o vía este enlace.

(Puedes consultar nuestra guía rápida para actualizar WordPress).

Sin tiempo casi de actualizar desde la reciente versión 2.5.5 nos llega una nueva actualización de Joomla! que soluciona varios problemas considerados de prioridad alta.

Igual podrían haberlos incluidos en la anterior o haberla retrasado un poco más, pero bueno … a actualizar que es lo importante.

Anuncio original en Joomla. (ENG).

Recién salida del horno de las actualizaciones una nueva actualización para la rama 2.5.x considerada de seguridad y que soluciona dos errores etiquetados como de prioridad media y  baja además de una buena colección de tickets de todo tipo, como viene siendo costumbre.
Concretamente:

• Prioridad media – Núcleo – Escalada de privilegios. Más info (ENG)
• Prioridad baja – Núcleo – Divulgación de información. Más info (ENG)

Esta nueva actualización además soluciona un buen número de errores (más info en el enlace del anuncio), muy importante actualizar.

Anuncio original en Joomla. (ENG).

Al igual que en anteriores ocasiones, nos hacemos eco del lanzamiento de un nuevo número de la revista electrónica de seguridad (IN)SECURE Magazine (nº 34).

En esta entrega de Junio, cabe destacar la introducción al análisis de Malware en Android, entre otros temas de interés.

La descarga es gratuita y está disponible en formato PDF desde su sitio web.

Temas de este número: (ENG)

Fitness as a model for security
Security and migrating to the cloud: Is it all doom and gloom?
Solid state drives: Forensic preservation issues
Introduction to Android malware analysis
Hack in The Box Conference 2012 Amsterdam
ISO 27001 standard: Breaking the documentation myth with Dejan Kosutic
Preparing a breach response plan
Security beyond the operating system: Into the cloud and beyond
Amphion Forum 2012 Munich
The challenges of data recovery from modern storage systems
Two-factor authentication for the cloud: Does it have to be hard?

En medio de la «resaca mediática» generada por la keynote de ayer en la que Apple presentó sus novedades en cuanto a hardware y software, desde la lista de correo «Apple Security» nos llega un aviso de actualización de seguridad para iTunes que en su versión 10.6.3, solventa dos vulnerabilidades (Mac OS X, Windows XP, Vista y 7).

Concretamente, se trata de la posibilidad sufrir un desbordamiento del búfer en listas de reproducción .m3u debidamente manipuladas para tal fin y un error de corrupción de memoria en Webkit. Se recomienda actualizar bien desde el menú «actualización de software» en Mac OS, o desde el sitio web de iTunes.

Fuera del ciclo mensual de actualizaciones se encuentra disponible para su instalación desde el update de Microsoft, una actualización de seguridad para Windows en todas sus versiones.

Esta actualización «KB-2718704» viene a solventar problemas de seguridad en la lista de revocación de certificados en los sistemas Windows, y para mantener actualizada la lista de certificados de los sistemas.

• Microsoft Enforced Licensing Intermediate PCA (2 certificates).

• Microsoft Enforced Licensing Registration Authority CA (SHA1).

La actualización se encuentra disponible desde el propio update automático de Windows o bien, mediante su descarga manual y posterior instalación desde este enlace de la web de Microsoft.

Se recomienda actualizar a la mayor brevedad posible.

Hoy el calendario tiene una marca muy especial para nuestra comunidad. Tal día como hoy hace 10 años, Daboweb veía la luz. En una fecha como está, sólo puedo daros las gracias por todo lo que personalmente he ido aprendiendo y compartiendo en un dominio que por casualidad, lleva como prefijo mi nick.

Quizás, de lo que más orgulloso puedo estar, es de todo lo que a nivel humano me ha aportado llevar adelante esta comunidad, con la inestimable ayuda de tanta y tanta gente que no citaré ya que el tintero, se quedaría simplemente vacío. Leo a diario con ese orgullo al que aludo, muchos blogs y webs de compañeros de nuestro foro (estáis todos invitados), el verdadero pulmón de Daboweb, que ha sobrevivido en los tiempos de unas redes sociales, novedosas para unos, y ya conocidas por todos nosotros desde hace (10) años, porque tanto a nivel técnico como social, aquí hemos tenido siempre nuestro lugar.

Con un espíritu abierto, dándonos igual el sistema operativo que se ejecute en el ordenador del usuario. Todo ello publicando regularmente tutoriales, noticias sobre seguridad informática (en mayor medida), cibercultura y tecnología en general. Contenidos generados por parte del gran equipo de redacción actual y anteriores. Siempre con el único fin de que el conocimiento fluya, sin ningún interés en lo económico.

Es también un buen momento para además de los redactores, destacar el gran trabajo de todos los moderadores que han pasado por nuestros foros. Personas con un espíritu altruista que han cedido muchas horas de su tiempo para con el resto, verdaderos amigos sin los que llevar adelante todo esto, hubiese sido del todo imposible…

Para acabar, sólo decir que seguiremos a tope en la brecha con nuevas incorporaciones al equipo de redacción y diferentes contenidos, sin perder el rumbo y la línea editorial habitual. Sí amigos, una década, parece que fue ayer…

Muchas gracias por todo -;).

David Hernández (Dabo).

Se encuentra disponible en el Massive Open Online Course MOOC de Crypt4you, la quinta lección del curso «El Algoritmo RSA». En esta ocasión, la lección está dedicada a los mensajes o números no cifrables.

Puedes acceder desde este enlace.