Daboweb | Seguridad y ayuda informática |

Nos hacemos eco vía INTECO (recomendable leer el aviso) de una gran actualización a nivel de seguridad que solventa vulnerabilidades en una gran cantidad de su familia de productos. La actualización está catalogada como de importancia «alta», por lo que es recomendable actualizar con brevedad el software. Más información y detalles según producto.

Apple ha puesto a disposición de los usuarios de sistemas Windows (7, Vista y XP SP2 o posterior) una nueva versión de iTunes (11.1). Dicha entrega del software solventa una vulnerabilidad explotable visitando una página manipulada para tal fin que derivaría en cierres inesperados de la aplicación o, en el peor de los casos, la ejecución arbitraria de código provocada por un error de corrupción de memoria en «iTunes ActiveX».

La actualización está disponible en el sitio de descargas de Apple.

Junto a una actualización de seguridad en Safari para Snow Leopard (5.1.10), Apple ha puesto a disposición de los usuarios la actualización de seguridad 2014-004 para OS X  Snow Leopard y Lion (server y escritorio).

Debido al número de vulnerabilidades que solventan, es más que aconsejable actualizar los sistemas a la mayor brevedad posible (están disponibles vía el menú actualización de software, o desde los enlaces inferiores).

Security Update 2014-004

OS X 10.6 Snow Leopard | OS X 10.6 Snow Leopard Server | OS X 10.7 Lion | OS X 10.7 Lion Server

Junto a estas correcciones, también se ha publicado una actualización para Mountain Lion (OS X 10.8.5) que solventa de igual forma varios fallos en su funcionamiento a nivel general, hay mejoras en rendimiento y también trae consigo mejoras en cuestiones de seguridad (Mail, AFP sobre Wifi, Xsan, salvapantallas, etc). De igual forma, se aconseja actualizar con rapidez.

Esto es más un recordatorio ya que hace quince días que se encuentra disponible para su descarga y actualización Drupal 7.23, versión de mantenimiento que corrige un número importante de errores (ninguno considerado de seguridad) y que podeis consultar en el enlace de debajo para más detalles (en inglés). Las cosas del verano nos han despistado y por poco se nos escapa xD

Nota oficial y descarga, info completa sobre la versión.

Está disponible una actualización de seguridad que corrige 25 vulnerabilidades en el navegador Google Chrome. Dicho update es aplicable a sistemas Windows, Mac y GNU/Linux aunque también se ha liberado una nueva versión para Android. Debido a las vulnerabilidades que solventa (ataques DoS, directorio transversal, posibles fugas de información) es más que aconsejable su inmediata actualización.

Tal y como informan en el hilo oficial del foro de soporte, se encuentra disponible una actualización catalogada como crítica para SMF Forum. Se han corregido varias vulnerabilidades de diferente impacto para el sistema de foros y es más que aconsejable actualizar con brevedad vía el administrador de paquetes a la versión 2.0.5.

Tal y como podemos leer en la lista de correo «Apple Security», se ha publicado la versión 10.8.4 de Mountain Lion y la actualización de seguridad 2013-002 que corrige múltiples vulnerabilidades para Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5, OS X Mountain Lion v10.8 a v10.8.3, etc.

Se recomienda aplicar los parches y mejoras en el software que incluye Lion 10.8.4 y la actualización de seguridad 2013-002 a la mayor brevedad posible debido al impacto en el sistema que puede tener la explotación de los fallos localizados. Podéis aplicar las descargas vía el menú «Actualización de software».

Junto a las actualizaciones de OS X, llega la versión del navegador Apple Safari 6.0.5 que corrige un gran número de vulnerabilidades localizadas principalmente en «Webkit». Esta versión de Safari está disponible para OS X Lion y Mountain Lion y os recomendamos actualizar también con rapidez. Descarga de Safari 6.0.5.

Se encuentra disponible para su descarga y actualización Drupal 7.22, versión de mantenimiento que corrige un número importante de errores (ninguno considerado de seguridad) y que podeis consultar en el enlace de debajo para más detalles (en inglés).

Nota oficial y descarga, info completa sobre la versión.

Como ya sabréis, la versión 20 de Firefox viene con nuevas funcionalidades como el renovado gestor de descargas y poder usar el modo de navegación privada (muy recomendable) sin tener que abrir una nueva ventana, dejando aparte las que había activas.

Pero más allá de las nuevas «features«, si vemos el listado de cambios, podemos leer que se han solventado 11 vulnerabilidades de diverso impacto, siendo 3 de ellas catalogadas como críticas. Por lo tanto, os recomendamos actualizar el navegador a la mayor brevedad posible.

Se encuentra disponible para su descarga y actualización Drupal 7.21, versión de mantenimiento que corrige algunas incompatibilidades introducidas en la versión de mantenimiento y seguridad 7.20.

Nota oficial y descarga, info completa sobre la versión.

Se encuentra disponible para su descarga y actualización Drupal 7.20, versión  de mantenimiento que contiene una actualización de seguridad considerada de tipo crítica (más info) y se recomienda actualizar a la mayor brevedad una vez leida la nota.

Nota oficial y descarga, info completa sobre la versión.

Un mes más, os recomendamos el recopilatorio de entradas publicadas en Daboweb en enero de 2013 por si en el día a día de la publicación alguna que pudiera interesarte, se te ha pasado por alto.

Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivo de contenidos publicados).

• 29: La actualización 6.1 de IOS solventa 37 vulnerabilidades.
• 28: Publicada la Lección 17 de la enciclopedia intypedia. Datos personales. Guía de seguridad para usuarios
• 28: Nuevas versiones de ESET Nod32 6 y Smart Security 6
• 25: WordPress 3.5.1 disponible. Actualización de seguridad y mantenimiento
• 20: Revista gratuita fotográfica Foto DNG 77, Enero 2013
• 17: [Breves] Drupal 7.19 y 6.28 liberados (actualización de seguridad)
• 15: Actualización para Internet Explorer soluciona grave vulnerabilidad
• 14: [Breves] Actualización de Java que soluciona 0-day
• 08: Publicada la Lección 16 de la enciclopedia intypedia. Videovigilancia LOPD
• 08: Lección final del Algoritmo RSA en el MOOC Crypt4you de Criptored
• 04: Actualizaciones de seguridad en Foros SMF (versiones 2.0.3, 1.1.17 y 1.0.23)
• 04: Vulnerabilidad en Jetpack plugin para WordPress (borrad css_optimiser.php)
• 02: [Breves] Actualización de filtros Nauscópicos para AdBlock Plus, (Firefox y Chrome)

Se encuentran disponibles para su descarga Drupal 7.19 y 6.28, son versiones de mantenimiento que contienen actualizaciones de seguridad para varias vulnerabilidades reportadas en el CMS por lo que es importante actualizar con brevedad.

Más info y descarga. Notas de las versiones Drupal 7.19 and Drupal 6.28 (ENG).

El pasado 16 de diciembre (se nos pasó publicarlo, pero se están detectando ataques con éxito en versiones vulnerables) el equipo de SMF puso a disposición de los usuarios las versiones 2.0.3, 1.1.17 y 1.0.23 de su sistema de foros. Las actualizaciones solventan un fallo de seguridad de impacto alto en todas las ramas, así como otros menores para la 2.0.x.

Recomendamos por tanto actualizar a la mayor brevedad posible todas las instalaciones de SMF.

(El método más cómodo para hacerlo, es desde el administrador de paquetes integrado en el panel de admin del foro si sólo se trata de parchear desde una versión anterior).

Además de los comentados, ayer, desde Packet Storm, se reportó una vulnerabilidad que afecta a la actual rama estable 2.0X a través de la cual es posible ver las rutas de instalación en el servidor (Path Disclosure). Tan sólo aclarar que este bug es real, pero sólo surte efecto si en php.ini el valor display_errors está = On (para que muestre los errores). Desde WHK Security (la fuente original y donde se reportó el bug) ofrecen una solución temporal hasta que el equipo de SMF lo solvente en futuras versiones.

Tal y como podemos leer en Ayuda WordPress, se ha reportado una vulnerabilidad XSS explotable a través del plugin Jetpack para WordPress. Comprobad si se está ejecutando desde el navegador a través de tusitio.com/wp-content/plugins/jetpack/modules/custom-css/csstidy/css_optimiser.php.

En la fuente original se menciona un XSS en CSSTidy (css_optimiser.php) y se puede ver que data de julio de 2010...

Dicho fichero (más info en el trac) ha sido ya eliminado (borradlo en vuestro blog) el plugin funciona sin problemas.