Nueva actualización para Joomla!, 1.5.12 de nombre Wojmamni Ama Woi y con 25 errores corregidos y tres actualizaciones de seguridad de nivel moderado.
Como siempre es altamente recomendado actualizar a la nueva versión lo antes posible.
Descarga actualización.
Descarga paquete completo 1.5.12.
Anuncio oficial con toda la información.
Como viene siendo habitual, os recomendamos el recopilatorio de entradas publicadas en Daboweb (mes de Junio) por si en el día a día de la publicación, alguna que pudiera interesarte se te ha pasado por alto.
Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivos de contenidos publicados).
Junio 2009
Se han reportado por parte de JPCERT/CC dos vulnerabilidades en el gestor de contenidos Movable Type. Dichos bugs son explotables remotamente y están considerados como de riesgo moderado para el CMS.
Concrétamente se trata de un desbordamiento del búfer y un salto de las restricciones de seguridad del software que podrían llevar a ataques Cross Site Scripting o desvelar información sensible del site. El hilo conductor de estos fallos viene dado por errores de validación de entrada en el script «mt-wizard.cgi».
Aún estando catalogados como de riesgo moderado, se recomienda actualizar Movable Type a la mayor brevedad posible, siendo las versiones afectadas las anteriores a la 4.26.
Sección de descarga de Movable Type | Fuente VUPEN Security.
Se ha liberado la versión 2.0.172.33 de Google Chrome y según nos informan desde el blog de Chrome, solventa una vulnerabilidad catalogada como crítica en un navegador que cada vez va adquiriendo más cuota de mercado, siendo por tanto más que aconsejable su inmediata actualización.
Concretamente, el bug parcheado se trataba de un desbordamiento del búfer procesando respuestas HTTP debidamente manipuladas para tal fin. Esas peticiones recibidas de un servidor web podían llevar a cerrar el navegador y en el peor de los casos permitían a atacantes remotos ejecutar código arbitrario en el sistema afectado.
Más información en Google Chrome Releases.
El equipo de desarrollo del cliente de correo de Mozilla acaba de anunciar la nueva versión 2.0.0.22 de Thunderbird. Concretamente, esta release solventa hasta 7 vulnerabilidades alguna de ellas clasificada como de alto riesgo para el sistema.
Esta versión está disponible ya para sistemas Windows, GNU/Linux y Mac OS X y puede descargarse a través del menú «Ayuda» del cliente de correo «Buscar actualizaciones». Dados los bugs que solventa se recomienda actualizar el software a la mayor brevedad posible.
Vulnerabilidades solucionadas en Thunderbird 2.0.0.22;
MFSA 2009-33 Crash viewing multipart/alternative message with text/enhanced part
MFSA 2009-32 JavaScript chrome privilege escalation
MFSA 2009-29 Arbitrary code execution using event listeners attached to an element whose owner document is null
MFSA 2009-27 SSL tampering via non-200 responses to proxy CONNECT requests
MFSA 2009-24 Crashes with evidence of memory corruption (rv:1.9.0.11)
MFSA 2009-17 Same-origin violations when Adobe Flash loaded via view-source: scheme
MFSA 2009-14 Crashes with evidence of memory corruption (rv:1.9.0.9)
Más información en Mozilla.org | Vía H-Online | Tutorial de Thunderbird (en Daboweb)
Como mucho sabréis, anteayer fue el día del lanzamiento de la esperada versión 3.0 del iPhone OS, sistema operativo que incorpora el teléfono de Apple, con nuevas funcionalidades y mejoras, pero también el de una gran corrección de bugs (muchos compartidos en el iPod Touch).
Días atrás, ya os resumimos la lista de novedades del iPhone 3 GS y de esta versión 3.0 del software, lo que en ese momento nadie salvo Apple sabía, es que traía consigo la solución a 46 vulnerabilidades (inexplicablemente) heredadas de versiones anteriores, algunas conocidas y otras no. Hace no mucho yo mismo opiné sobre la falta de seriedad en asuntos de seguridad de la que últimamente está haciendo gala Apple (véase el tiempo que han tardado en parchear su bug en Java).
La lista parches aplicados es muy amplia, sirvan como ejemplo las 23 que se han solventado en WebKit y Safari, que se lleva la palma respecto posibles ejecuciones de código arbitrario en sitios web especialmente manipulados para explotar dichos bugs. Además de en Safari, se han corregido vulnerabilidades en CoreGraphics, Exchange, ImageIO, ICU, IPSec, libxml, PDF, Mail, Codecs de vídeo MPEG-4, etc, por lo que es más que recomendable actualizar a la mayor brevedad posible vía iTunes.
Por David Hernández (Dabo).
Fuente Vupen.
Lo del título viene a colación por el nombre («Morro») del que será el futuro antivirus que Microsoft ofrecerá gratuitamente a sus usuarios. Está cerca de recibir la consideración de «Beta» y actualmente, Morro, está siendo probado por empleados de Microsoft y gente del grupo de desarrollo, se está hablando de que ofrecerá una protección básica contra virus, troyanos, spyware y demás malware.
En muchos sitios se ha hablado del fiasco que supuso «Windows Live OneCare», un antivirus de la casa por el que había que pagar y que no consiguió como esperan con Morro (que es un nombre clave y puede llamarse de otro modo cuando salga a la luz) quitar cuota de mercado a dos grandes del sector como McAfee o Symantec.
También se ha comentado que no se ofrecerá empaquetado dentro de Windows sino como una descarga, previsiblemente para no tener problemas con los diferentes tribunales de la competencia como le ha pasado con Explorer, aún no hay fechas para su lanzamiento pero es posible que su puesta de largo coincida con el lanzamiento de Windows 7 antes de que acabe el año.
Personalmente, no creo que usuarios que estén acostumbrados a usar productos un tanto más profesionales como Nod32 o Kaspersky tengan pensado cambiar, pero si que además de las versiones de pago de McAfee o Symantec, a quienes más puede afectar puede ser a productos que se distribuyen también de forma gratuita como versiones de Bit Defender, u otros antivirus gratuitos como Avast Home Edition, AVG Anti-virus, Antivir Personal Free.
El tiempo lo dirá, pero creo que es una buena noticia hablando de seguridad que Microsoft se ponga las pilas en estos temas y más aún desde su posición dominante en el mercado además de que mantenga una actitud responsable en estas cuestiones, práctica a la que no nos tiene muy acostumbrados históricamente pero que en los últimos tiempos parece que algo está cambiando.
Fuente Reuters. (ENG)
Por David Hernández, (Dabo)
Otro mes más os recomendamos la lectura de la veterana revista electrónica de seguridad (IN)SECURE Magazine, es de libre descarga, escrita en Inglés y el formato en que se distribuye es en PDF.
En el caso de que quieras descargar alguno de los números anteriores puedes hacerlo desde la sección «archivo«, allí encontraras la ilustración de la portada y el un índice de contenidos del número elegido.
– Malicious PDF: Get owned without opening
– Review: IronKey Personal
– Windows 7 security features: Building on Vista
– Web 2.0 emerging threats
– Using Wireshark to capture and analyze wireless traffic
– Q&A: Paul Cooke on Windows 7
– RSA Conference 2009
– Your applications are trying to tell you something – are you listening?
– Q&A: Hord Tipton on certification and (ISC)2
– «Unclonable» RFID – a technical overview
– The application security maturity (ASM) model
– Secure development principles
– Enterprise risk and compliance reporting
– Q&A: Ron Gula on Nessus and Tenable Network Security
– Infosecurity Europe 2009
– Establish your social media presence with security in mind
– HTTPS is bad?
– A historical perspective on the cybersecurity dilemma
– Q&A: Brent Huston on security in general, CEO challenges and Microsolved
– Black Hat Europe 2009
– Germany: The current debate on the Internet filter
– A risk-based, cost effective approach to holistic security
Descarga de (IN)SECURE Magazine nº21.
Bajo el nombre del trompetista y vocalista Chet Baker, ha sido liberada para descarga, instalación y/o actualización la versión estable y, de momento, definitiva de WordPress, la 2.8
Como es costumbre por estos lares recordamos como actualizar el más popular de los CMS para su uso en blogs:
Para actualizar haremos lo siguiente, previa copia de seguridad, especialmente de aquellos archivos que hayamos modificado y del archivo wp-config.php:
Eso es todo, si no falla nada puedes borrar las carpetas renombradas.
Podéis leer también nuestra guía para actualizar WordPress (sin sustos)
Saludos y buenas instalaciones/actualizaciones.
Nueva actualización para Joomla!, 1.5.11 de nombre Vea y con 26 errores corregidos y dos actualizaciónes de seguridad de nivel moderado y una de nivel bajo.
Como siempre es altamente recomendado actualizar a la nueva versión lo antes posible.
Descarga actualización.
Descarga paquete completo 1.5.11.
Anuncio oficial con toda la información.
Acaban de ser liberadas por parte de Apple sendas versiones de sus reproductores de audio y vídeo iTunes y QuickTime, disponibles para Mac OS X versiones 10.4.10 y posteriores así como para sistemas Windows (Vista y XP service Pack 3).
Las nuevas versiones solventan varios fallos de seguridad importantes como pueden ser; desbordamientos del buffer, ejecución arbitraria de código, etc. Tanto visitando páginas web especialmente manipuladas para explotar los bugs, como viendo ficheros PSD, PICT o de vídeo también empaquetados con el mismo fin.
Dado el impacto de estos fallos y su posible explotación en el sistema, se recomienda actualizar con brevedad iTunes a la versión 8.2 y QuickTime a la 7.6.2. (Fuente, lista de correo de Apple)
Descarga de iTunes 8.2 | Descarga de QuickTime 7.6.2.
El popular gestor de foros ha lanzado una nueva actualización, la 1.1.9., que viene a solventar algunos vulnerabilidades encontradas en la versión anterior. Se recomienda actualizar lo antes posible a esta nueva versión.
Además, en el tema del anuncio, informan de que han lanzado una nueva versión de la rama de desarrollo 2, la 2.0 RC1-1 y que se puede actualizar igualmente a esta nueva versión, eso sí recordar que es una versión no estable y que no es recomendable ponerla en producción.
Los usuarios de la versión 1.0.x deben actualizar a la versión 1.0.17. Se puede actualizar a través del panel de administración o vía FTP, esta nueva versión podría dar problemas actualizando desde el panel y entonces sí o sí habría que hacerlo manualmente. Os copio una pequeña guía escrita por Dabo para actualizar sin problemas:
1– Ponéis el foro en mantenimiento y el idioma en Inglés (si no, os dará fallo).
Reportan desde la web de Drupal dos nuevas actualizaciones para las ramas 6.x y 5.x que solucionan varios errores conocidos y una vulnerabilidad de seguridad crítica de Cross site scripting; leer más (en inglés).
Aparte de las nuevas versiones existen dos parches, una para cada rama de desarrollo para los que no quieran o no estén interesados en actualizar, aunque lo recomendable siempre es pasar a la siguiente versión y evitar los parches en la medida de lo posible.
Aparte de las copias de seguridad que hay que hacer siempre antes de actualizar un CMS hay que tener en cuenta que la actualización a las versiones 6.12 y 5.18 pisa los archivos .htaccess y robots.txt con lo cual hay que prestar especial atención a la hora de salvar estos archivos, especialmente si los hemos personalizado ya que perderíamos los cambios realizados.
En la pasada noche, Apple publicó la versión 10.5.7 de Leopard, con unos 286Mb aproximadamente (en mi viejo Powerbook G4) y unos 449 Mb en un MacBook Unibody.
Las recomendaciones para esta instalación, son las siguientes:
General
iCalc
Controles parentales
Impresión
Tengo que decir, que esta actualización se me antoja algo lenta para equipos algo antiguos. Esta mañana he tenido que dejar el ordenador actualizandose cuando ya pasaban 10 minutos del comienzo, no ocurre lo mismo con equipos más nuevos, ya que en un Macbook Unibody tan solo ha tardado 5 minutos (siendo más del doble de tamaño)
Asimismo, se ha publicado la actualización 2009-002 para Tiger, que soluciona diferentes errores de seguridad y mejoras.
Desde hace varios días cantidad de foros que usan SMF como gestor de contenidos están sufriendo ataques y siendo infectados mediante una inyección de código php a través de la carpeta de avatares de los usuarios.
El usuario malicioso, mal llamado hacker, usa comunmente el nick Krisbarteo, aunque podría usar otros como Boommurne o alguno de los de esta lista.
Lo que hace, básicamente, es subir un avatar en formato .jpg que contiene un código php que crea en el servidor tres archivos (style.css.php, s.php y dg.php) para luego añadir a todos los archivos php del servidor un código codificado en base64; no se sabe el alcance real del ataque pero se presupone que en principio sea usado para hacer spam.
¿Cómo sé si estoy infectado?
La desaparición de avatares en el foro es el síntoma más claro, también se puede revisar el log de errores del foro y buscar el siguiente mensaje: 8: Undefined index: dhhag.
¿Cómo me desinfecto?
La reinstalación de una copia de seguridad completa es el proceso más rápido y efectivo, por eso nunca nos cansaremos de recordar la importancia de tener copias de seguridad periódicas y en buen estado.
Para la opción larga y tediosa dejo un enlace abajo.
No estoy infectado, ¿cómo evito que me suceda?
Desde el panel de admnistración del foro vamos a Archivos adjuntos y avatares, Configuración de avatares y escogemos la opción Negar para la subida de avatares a los usuarios nuevos; recordar que se pueden crear grupos de usuarios por mensajes y que esta opción es precisamente útil para casos como este. Cerrar el registro u obligar a la activación por parte de un administrador es otra opción, bastante más radical e innecesaria.
Vía: Nimiedad (con explicación para desinfección paso a paso).
Discusión en foros SMF (Inglés).
© 2025 Daboweb | Seguridad y ayuda informática | All Rights Reserved.