Apple mitiga vulnerabilidades Zero-Day

Apple ha lanzado actualizaciones para corregir dos vulnerabilidades críticas, CVE-2024-44308 y CVE-2024-44309, según ha informado el medio The Hacker News. Estos fallos afectan a su motor WebKit y podrían ser explotadas mediante la apertura de contenido malicioso, permitiendo a un atacante ejecutar código no autorizado en dispositivos como iPhones, iPads y Macs.

Las actualizaciones incluyen parches para versiones recientes de macOS, iOS, iPadOS y Safari. Estas vulnerabilidades destacan por su severidad, ya que podrían comprometer por completo la seguridad de los dispositivos afectados. Apple confirma que una explotación exitosa requeriría una acción del usuario, como visitar un sitio web preparado específicamente.

El fallo CVE-2024-44308 involucra un problema de tipo use-after-free en WebKit, mientras que CVE-2024-44309 se relaciona con una escritura fuera de los límites. Ambos fallos pueden desencadenar ejecución de código arbitrario con privilegios elevados. Hasta el momento, no se han reportado casos de explotación activa de estas vulnerabilidades en entornos reales.

Se insta a los usuarios a aplicar las actualizaciones de inmediato para mitigar los riesgos. La corrección de estas vulnerabilidades subraya la importancia de mantener los sistemas operativos actualizados para prevenir posibles ciberataques.

Referencias

Política de Cookies

El objetivo de la presente Política es informar a los usuarios acerca de las Cookies que emplea esta página web de conformidad con:

• La Ley 34/2022, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico.
• El Reglamento (EU) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.

¿Qué son las cookies?
Son ficheros de texto e imagen que se descargan en los dispositivos electrónicos (ordenador, smartphone, tablet…) al acceder a un servicio online.

Las cookies permiten, entre otras cosas, almacenar y recuperar información sobre el usuario, su navegador, sus dispositivos y la actividad del usuario en el servicio al que se conecta.

Hay que tener en cuenta que para poder utilizar y contar con una mejor experiencia de navegación, es necesario mantener habilitadas las Cookies, especialmente aquellas de carácter técnico que son necesarias para poder identificarte como usuario registrado cada vez que accedes a la web.

En caso de no querer recibir cookies, por favor, configure su navegador de internet, para que las borre del disco duro de su ordenador, las bloquee o le avise en su caso de instalación de las mismas.

Tipos de cookies
Existen muchos tipos de cookies, pero con carácter general, podemos distinguir las siguientes:

1. Según quién gestione las cookies:

Cookies propias. Se envían al dispositivo o terminal del usuario desde el equipo o dominio perteneciente al titular del servicio al que se ha conectado el usuario, y son gestionadas por dicho titular.
Cookies de terceros. Se envían al dispositivo o terminal del usuario desde un equipo o dominio que no es gestionado por el titular del servicio al que se ha conectado el usuario, sino por un tercero que tiene un acuerdo con el titular del servicio.

2. Según el plazo de conservación:

Cookies de sesión. Recaban y almacenan los datos cuando el usuario accede a una página web. Suelen conservar información que solo interesa para la prestación del servicio solicitado.
Cookies persistentes. Aquellas en las que los datos siguen almacenados en el terminal y pueden ser accedidos y tratados durante un periodo definido por el responsable de la cookie (minutos o años).

3. Según su finalidad:

Cookies técnicas. Aquellas que permiten al usuario la navegación a través de una página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios que en ella existan, incluyendo aquellas que el editor utiliza para permitir la gestión y operativa de la página web y habilitar sus funciones y servicios, como, por ejemplo, controlar el tráfico y la comunicación de datos, identificar la sesión, etc.
Cookies de personalización. Aquellas que permiten recordar información para que el usuario acceda al servicio con determinadas características que pueden diferenciar su experiencia de la de otros usuarios, como, por ejemplo, el idioma, el número de resultados a mostrar cuando el usuario realiza una búsqueda, etc.
Cookies analíticas. Aquellas que permiten al responsable de las mismas el seguimiento y análisis del comportamiento de los usuarios de los sitios web a los que están vinculadas, incluida la cuantificación de los impactos de los anuncios.
Cookies publicitarias. Aquellas que permiten gestionar la oferta publicitaria en función del contenido del servicio solicitado o al uso que se realice de la página web. Realizan un perfilado de navegación.

¿Qué cookies utiliza la web?

 

¿Cómo bloquear las cookies?
El usuario puede permitir, bloquear, revocar o eliminar las cookies instaladas en su equipo mediante la configuración de las opciones de su navegador. Puedes encontrar información sobre cómo hacerlo, en los siguientes links:

Edge.
Chrome.
Firefox.
Safari.
Opera.

Estos navegadores están sometidos a actualizaciones o modificaciones, por lo que no podemos garantizar que se ajusten completamente a la versión de su navegador. Para evitar desajustes, puede acceder directamente desde las opciones de su navegador, sección “Privacidad” (por lo general).

Debe tener en cuenta que la desactivación de alguna cookie puede impedir o dificultar la navegación o prestación de los servicios ofrecidos en la web.

Transferencias internacionales
No se producen transferencias internacionales de datos personales a terceros países fuera de la UE o Espacio Económico Europeo.

Protección de datos
Para conocer más sobre protección de datos, y los derechos que le asisten en la materia, puede acudir a lo establecido en nuestra “Política de Privacidad

Modificaciones
La presente política de cookies puede verse modificada en función de las exigencias legalmente establecidas o debido a instrucciones de la Agencia Española de Protección de Datos, o cambios en la Web.

Aconsejamos a los usuarios visitar periódicamente nuestra Política de Cookies.

Ante cualquier duda, contactar con CSIRT-CV a través de la dirección csirtcv@gva.es o en el siguiente formulario web.

VMware enfrenta vulnerabilidades críticas en ESXi y Workstation

VMware ha lanzado actualizaciones de seguridad tras la identificación de varias vulnerabilidades críticas en sus productos ESXi y Workstation, según ha informado SecurityWeek.

Una de las vulnerabilidades más destacadas es CVE-2023-34048, que afecta a VMware ESXi y VMware Workstation. Este fallo permite la ejecución remota de código (RCE), lo que significa que un atacante remoto no autenticado podría ejecutar comandos arbitrarios en el sistema afectado. La vulnerabilidad ha sido catalogada como crítica y presenta un riesgo elevado debido a la capacidad de los atacantes de comprometer el entorno virtualizado sin necesidad de autenticación previa.

Otro fallo importante es CVE-2023-34056, también presente en ESXi, Workstation y Fusion. Este fallo se debe a una vulnerabilidad de divulgación de información que podría permitir a un atacante obtener detalles sensibles del sistema comprometido. Aunque este tipo de vulnerabilidad no permite acceso directo al sistema, la información filtrada podría ser utilizada para llevar a cabo otros ataques más sofisticados.

Además, VMware ha corregido una vulnerabilidad de denegación de servicio (DoS) identificada como CVE-2023-34059. Esta vulnerabilidad permite a un atacante, mediante peticiones malformadas, causar interrupciones en los servicios del hipervisor ESXi, dejando inoperativos los entornos virtualizados hasta que se realice una intervención manual.

Recomendaciones

VMware insta a los administradores de sistemas a aplicar los parches correspondientes a la mayor brevedad, ya que los productos afectados son ampliamente utilizados en entornos corporativos y empresariales. El riesgo de explotación de estas vulnerabilidades es alto, especialmente en servidores expuestos a Internet, por lo que es crucial realizar actualizaciones de seguridad y aplicar las medidas de mitigación recomendadas.

Referencias

Ciberataque en la web de Lego muestra anuncios de cripto estafa

Recientemente, el sitio web de LEGO fue comprometido en un ciberataque, donde los delincuentes inyectaron código malicioso para promover una criptoestafa llamada «Lego Coin«.

Esta intrusión redirigía a los visitantes a una página fraudulenta diseñada con un aspecto convincente para simular una oferta legítima, que incitaba a los usuarios a invertir en una criptomoneda falsa denominada «Lego Coin«. Los atacantes utilizaron técnicas de ingeniería social para ganar la confianza de las víctimas, presentando testimonios falsos y promesas de altos rendimientos. El objetivo era engañar a los usuarios para que proporcionaran sus datos personales y financieros, con el fin de robar fondos o utilizar esta información para futuras actividades maliciosas.

Aunque LEGO logró eliminar rápidamente el contenido malicioso y restablecer la seguridad de su sitio web, este incidente subraya la importancia crítica de contar con medidas de ciberseguridad sólidas y actualizadas. Además, resalta la necesidad de educar a los usuarios sobre los riesgos asociados con las estafas en línea y cómo identificar señales de alerta cuando se trata de inversiones en criptomonedas. En un entorno donde las técnicas de ataque evolucionan constantemente, es fundamental que tanto las empresas como los usuarios estén siempre vigilantes y preparados para enfrentar estas amenazas digitales en tiempo real.

El ataque al sitio web de LEGO resalta cómo incluso las marcas más grandes pueden ser objetivo de ciberdelincuentes. Las empresas deben priorizar la seguridad en sus plataformas digitales, utilizando herramientas de monitorización para detectar y responder rápidamente a cualquier actividad sospechosa. Los usuarios, por su parte, deben permanecer atentos y seguir buenas prácticas de seguridad para protegerse de posibles engaños.

Este incidente nos recuerda que, en el mundo digital, la precaución y la educación son nuestras mejores herramientas para evitar caer en trampas. Mantenerse informado sobre las tácticas de los ciberdelincuentes y tomar medidas proactivas es esencial para proteger tanto nuestras inversiones como nuestros datos. Por esta razón, es fundamental que todo tipo de empresas, independientemente de su tamaño, cuenten con un sólido sistema de ciberseguridad que les permita anticipar y responder a estas amenazas.

Fuente: https://unaaldia.hispasec.com/2024/10/lego-coin-ciberataque-en-la-web-de-lego-muestra-anuncios-de-cripto-estafa.html