Ayer por la noche, el sitio web de PrestaShop fue víctima de un ataque. Este hecho, vía un script para automatizar el proceso, según la información que proporciona PrestaShop, derivó en la transcripción de noticias en la parte administrativa de las tiendas.
Si tu tienda está entre las afectadas, consulta esta información (en castellano) para solventar el problema.
Fuente; IntecoCert.
Una nueva entrada en nuestra sección de Seguridad Básica para los que empiezan, en esta ocasión vamos a insistir en CERRAR SESIÓN al abandonar o cerrar una página en la que nos hemos logueado (iniciado sesión) o accedido mediante contraseña.
Y es que, la seguridad de nuestras acciones no solo se deben basar en disponer de contraseñas efectivas y sólidas, utilizar un sistema operativo u otro, programas de seguridad, etc., sino también en cuidar de estos pequeños detalles.
A continuación, reflejamos la entrada que hemos publicado en nuestro otro blog Basicoyfacil sobre este tema.
Es habitual que, para acceder a multitud de servicios online de los que utilizamos casi a diario como, nuestras cuentas de correo electrónico, foros, blogs, MSN, Twitter, Tuenti, Facebook, Cuentas bancarias, etc., precisemos loguearnos o iniciar sesión (introducir un Nick y una contraseña) para su uso, de este modo podremos utilizar el servicio sin problemas.
Debemos incidir en un detalle al que no siempre se le presta la debida atención y no es otro que CERRAR SESIÓN al abandonar o cerrar una página en la que nos hemos logueado (iniciado sesión) o accedido mediante contraseña.
De introducir los datos nos acordamos siempre porque, o introducimos los datos de acceso, o no podremos acceder al servicio en cuestión, pero de lo que no nos acordamos siempre es de cerrar sesión al terminar de utilizar el servicio, en muchas ocasiones, nos limitamos a tan solo cerrar la ventana o pestaña del Navegador Web.
Cerrar la ventana o pestaña del navegador no siempre garantiza que se haya cerrado la sesión, por lo que, si entre otras, otro usuario posteriormente usara tu equipo, podría acceder a esos servicios sin introducir los datos de acceso.
Por tanto, para mantener la seguridad y privacidad de nuestros servicios, es muy importante utilizar los botones de CERRAR SESION o SALIR habilitados en todos estos servicios antes de cerrar la ventana del navegador.
Si tenéis alguna duda, podéis echar un vistazo a alguno de estos manuales para registrarse o crear cuentas en diferentes servicios como: Hotmail, Yahoo, WordPress, Foro, etc., donde ya mencionábamos estas indicaciones de Salir o Cerrar sesión.
Como añadido os recomiendo además Limpiar los rastros de nuestra navegación por la red antes de apagar el equipo y emplear algún programa para limpiar los temporales generados en el equipo y que podréis encontrar en este artículo de nuestro otro blog Cajon desastres.
En basicoyfacil.
Hasta la próxima entrega.
A través de un Twitt de DarkOperator, nos enteramos del cambio en la política de privacidad referente al etiquetado de fotografías por parte de terceros. Ahora, para ser «etiquetado» en una foto, tiene que ser mediante tu aprobación previa. Algo lógico y que muchos usuarios demandaban.
La noticia al completo.
Curiosa la noticia que leemos en la red acerca del viejo y conocido «ping de la muerte» que afectaba allá por la década de los noventa a sistemas Windows y que todos creíamos desaparecido. Al parecer Microsoft publicó el boletín de seguridad MS11-064 en el que corrige un fallo de similares características en la pila TCP/IP de Windows Vista y Windows 7, el cual mediante paquetes ICMP especialmente diseñados pueden provocar una denegación de servicios en el sistema afectado. Llama la atención que Windows XP no se vea afectado por esta vulnerabilidad y que sin embargo, los dos últimos sistemas operativos del gigante informático si que «incorporen» este grave fallo.
Sin duda uno de los mas conocidos bugs de la gama de productos made in Microsoft, tanto por la facilidad en su ejecución como por los efectos inmediatos que producía: cuelgue del equipo que lo sufría y la aparición de la tan temida «pantalla azul». Para los que no conozcais este clásico entre los clásico dentro de lo que es su día se dio a conocer como el «IRC War», os dejamos este enlace a la Wikipedia donde podéis leer mas al respecto. Y si sois usuarios de los mencionados Windows Vista y Windows 7, pues ya sabéis lo que procede…
Para este Viernes, os recomendamos leer este interesante documento en formato PDF creado por el INTECO-CERT sobre los riesgos y amenazas del «Cloud Computing» (computación en la nube).
Puede que hayas leído estos pasados días mucha información sobre la caída de Amazon EC2 (podcast especial en Daboblog sobre Amazon EC2 con Ricardo Galli y Raúl Naveiras) en Europa debido a un fallo de hardware (provocado por un rayo) o que estés pensando en migrar tu proyecto web a un proveedor de hosting bajo este tipo de infraestructura, o quizás quieras ampliar conocimientos sobre este tipo de tecnología.
Sirva esta introducción como aperitivo de lo que encontrarás en la guía;
En la actualidad una de las tendencias del mercado de los sistemas de información es la proliferación de los servicios operando en la nube, los cuales son servicios que permiten la asignación dinámica de recursos en función de necesidades de los clientes y que aportan una reducción de costes en infraestructuras considerable. […]
Este no es el único documento que refleja la creciente preocupación por la seguridad en estas plataformas, como se refleja en documentos de entidades de referencia que también abordan este tema.
El informe siguiente resume algunos de estos documentos con el propósito de facilitar una visión general de amenazas, riesgos y aspectos a considerar en la seguridad en cloud.
Este informe realiza, en primer lugar, una descripción de los tipos de infraestructuras y servicios cloud para, a continuación, abordar los distintos elementos que han de tenerse en cuenta para abordar su seguridad, según el citado documento del NIST e informes recientes de la organización internacional CSA (Cloud Security Alliance) y de la consultora Gartner.Las preocupaciones que derivan de estos informes se centran en aspectos la gestión de los datos, fundamentalmente en la propiedad de los mismos y la forma de operarlos y tratarlos por parte de los proveedores, así como en la identificación y control de acceso a los recursos.
Descarga en PDF de la guía sobre «riesgos y amenazas del Cloud Computing».
Tal y como se lee en el título de la noticia, Microsoft ha puesto a disposición de los usuarios 13 boletines de seguridad que solventan un total de 22 vulnerabilidades en productos como; Internet Explorer, Microsoft .NET Framework, Microsoft Developer Tools, Microsoft Office y Microsoft Windows.
Desde Microsoft, Angela Gunn, obviamente insta a parchear en primer lugar las dos vulnerabilidades catalogadas como críticas y que afectan a Internet Explorer (MS11-057) donde el parche más serio es el que corrige la posibilidad de ejecución remota de código viendo una web especialmente manipulada para tal fin.
La otra afecta a DNS Server (MS11-058), donde el bug más importante que se ha corregido también impide la ejecución remota de código, si un atacante envía una consulta especialmente manipulada «Naming Authority Pointer» (NAPTR) al servidor DNS.
Más información en Microsoft sobre todos los parches y productos afectados.
Adobe acaba de publicar múltiples parches para sus productos; FlashPlayer, ShockwavePlayer, FlashMediaServer, Photoshop CS 5 y RoboHelp que vienen a solventar varias vulnerabilidades, siendo catalogadas por el fabricante como «críticas» por lo que es más que recomendable su inmediata actualización.
Para ver el impacto sobre el sistema además de los detalles de los bugs solventados por las nuevas versiones, a continuación los enlaces a la información original de Adobe; (En Inglés)
Las vulnerabilidades afectan según el software a Windows, GNU/Linux y Mac OS X.
La vulnerabilidad y el exploit han sido reportados desde http://0verl0ad.blogspot.com/ (con créditos hacia http://xd-blog.com.ar y portalhacker.net) afecta al sistema de foros SMF 2.0. El asunto es serio, ya que puede desde afectar a usuarios con privilegios administrativos, así como al staff de moderación.
Destacar el gran trabajo que se ha hecho, publicando además del exploit, la solución para paliarlo, junto a una explicación acerca de cómo funciona el robo de «Tokens» y cómo se explota una vulnerabilidad de este tipo.
La solución;
Comenta o elimina las lineas 104 y 105 de /Sources/Subs-Menu.php, esto palía el problema y todo sigue funcionando:
Código;(Líneas 104 y 105).
/////////////////////////////////////////////////////
if (empty($menuOptions[‘disable_url_session_check’]))
$menu_context[‘extra_parameters’] .= ‘;’ . $context[‘session_var’] . ‘=’ . $context[‘session_id’];
/////////////////////////////////////////////////////
Más información y fuente, en exploits-db.
Un mes más, os recomendamos el recopilatorio de entradas publicadas en Daboweb en Julio de 2011, por si en el día a día de la publicación, alguna que pudiera interesarte se te ha pasado por alto.
Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivo de contenidos publicados).
El equipo de desarrollo de Drupal acaba de anunciar la disponibilidad de Drupal 7.7, otra entrega del CMS que no trae nuevas funcionalidades, pero que solventa varios problemas de seguridad localizados en Drupal. En esta nueva versión hay un salto de versiones desde la 7.4 ya que sobre la 7.5 (la actualización de seguridad) se han lanzado dos nuevas actualizaciones que solventan algunos bugs, la lista completa de corrección de errores se puede leer sobre las notas de la versión 7.6
Por ello, es más que recomendable su inmediata actualización, para más información sobre este lanzamiento puedes consultar el anuncio de esta «release». Descarga de Drupal 7.7. (tar.gz).
Se encuentra disponible para su descarga e instalación la nueva versión de Foxit Reader 5.0.2 para equipos con sistema operativo Windows, que solventa una grave vulnerabilidad para las versiones 5.0. y anteriores que entre otras, podría permitir la ejecución de código arbitrario al abrir determinados archivos PDF.
Recordemos que Foxit Reader es un visor de archivos PDF gratuito para sistemas windows, que cuenta con interesantes funcionalidades para su empleo.
Y es que, «debemos instalar las actualizaciones en cuanto se publiquen para tener el sistema totalmente actualizado, ya que de lo contrario, algún malware podría aprovecharse de estas debilidades e infectar nuestros equipos.», como ya indicábamos en una de nuestras entradas de seguridad básica; Mantener el sistema operativo y el software actualizados.
En el siguiente enlace cuentas con un pequeño manual para actualizar Foxit Reader, que te facilitará la tarea.
Conforme podemos leer en Security By Default, presuntamente durante el mes de Junio (o antes) alguien hackea la web del proyecto, crea un proyecto similar en SourceForge (CamStudios) y aloja en él versiones troyanizadas de CamStudio con un troyano poco conocido.
CamStudio, para el que no lo sepa, es un software OpenSource para grabar screencast en Windows. (Capturar vídeo con Camstudio).
A saber cuantas personas ahora mismo tienen ‘un regalo’ en su equipo sin saberlo y cuanto tiempo tardarán en averiguarlo.
Se encuentra disponible en Intypedia, la enciclopedia de la Seguridad de la Información, un nuevo capítulo o lección en vídeo titulado: Introducción al protocolo SSL.
En el vídeo, que dura alrededor de 18 minutos y se compone de cuatro escenas, “Alicia y Bernardo nos explican los fundamentos del protocolo criptográfico SSL/TLS. Un protocolo de vital importancia en el comercio electrónico y en las redes privadas virtuales seguras.
ESCENA 1.
Orígenes de SSL. Ataques a la identidad e integridad de los datos.
ESCENA 2.
Funcionamiento de SSL. SSL Handshake Protocol.
ESCENA 3.
Aplicaciones del protocolo SSL. Comercio electrónico y VPNS
ESCENA 4.
Seguridad del protocolo SSL.
♦ Ver el vídeo.
♦ Descargar el guión en formato PDF.
Se ha notificado una vulnerabilidad XSS (cross-site scripting) en Skype que afecta a las versiones 5.3.0.120 y anteriores para Windows y Mac OS X.
Skype es un programa voip de mensajería instantánea, videollamadas, multiconferencia, etc., gratuito y con versiones disponibles para Windows, Linux y Mac, que permite de igual modo la llamada a teléfonos fijos y móviles de todo el mundo a unos precios interesantes.
En estos momentos aún no existe un parche o solución que solvente el problema, por lo que se recomienda extremar las medidas de precaución en los mensajes recibidos y la redirecciones a otras webs.
A lo largo de la próxima semana esperan solucionar el problema, no obstante estad atentos a actualizaciones del programa.
En estos días que muchos iniciamos nuestras vacaciones de verano, es conveniente recordar algunos aspectos relacionados con la Seguridad de nuestra información.
Aunque seguro que ya todos tenemos más o menos en cuenta muchas de estas recomendaciones, no estará de más volver a incidir en las mismas, a modo de recordatorio.
Antes de salir de vacaciones:
Durante las vacaciones:
Además os enlazamos un interesante vídeo de la policía con consejos para tener un verano más seguro:
Los que salgáis, que paséis unas muy buenas vacaciones y nos seguimos leyendo a la vuelta. 😉
© 2026 Daboweb | Seguridad y ayuda informática | All Rights Reserved.