Apple mitiga vulnerabilitats Zero-Day

Apple ha llançat actualitzacions per a corregir dos vulnerabilitats crítiques, CVE-2024-44308 i CVE-2024-44309, segons ha informat el mitjà The Hacker News. Estes fallades afecten el seu motor WebKit i podrien ser explotades mitjançant l’obertura de contingut maliciós, que permetria a un atacant executar codi no autoritzat en dispositius com iPhones, iPads i Macs.

Les actualitzacions inclouen pedaços per a versions recents de macOS, iOS, iPadOS i Safari. Estes vulnerabilitats destaquen per la seua severitat, ja que podrien comprometre per complet la seguretat dels dispositius afectats. Apple confirma que una explotació exitosa requeriria una acció de l’usuari, com visitar un lloc web preparat específicament.

La fallada CVE-2024-44308 involucra un problema de tipus use-after-free en WebKit, mentres que CVE-2024-44309 es relaciona amb una escriptura fora dels límits. Les dos fallades poden desencadenar execució de codi arbitrari amb privilegis elevats. Fins al moment, no s’han reportat casos d’explotació activa d’estes vulnerabilitats en entorns reals.

S’insta els usuaris a aplicar les actualitzacions immediatament per a mitigar els riscos. La correcció d’estes vulnerabilitats subratlla la importància de mantindre els sistemes operatius actualitzats per a previndre possibles ciberatacs.

Referència:

Política de Cookies

El objetivo de la presente Política es informar a los usuarios acerca de las Cookies que emplea esta página web de conformidad con:

• La Ley 34/2022, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico.
• El Reglamento (EU) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.

¿Qué son las cookies?
Son ficheros de texto e imagen que se descargan en los dispositivos electrónicos (ordenador, smartphone, tablet…) al acceder a un servicio online.

Las cookies permiten, entre otras cosas, almacenar y recuperar información sobre el usuario, su navegador, sus dispositivos y la actividad del usuario en el servicio al que se conecta.

Hay que tener en cuenta que para poder utilizar y contar con una mejor experiencia de navegación, es necesario mantener habilitadas las Cookies, especialmente aquellas de carácter técnico que son necesarias para poder identificarte como usuario registrado cada vez que accedes a la web.

En caso de no querer recibir cookies, por favor, configure su navegador de internet, para que las borre del disco duro de su ordenador, las bloquee o le avise en su caso de instalación de las mismas.

Tipos de cookies
Existen muchos tipos de cookies, pero con carácter general, podemos distinguir las siguientes:

1. Según quién gestione las cookies:

Cookies propias. Se envían al dispositivo o terminal del usuario desde el equipo o dominio perteneciente al titular del servicio al que se ha conectado el usuario, y son gestionadas por dicho titular.
Cookies de terceros. Se envían al dispositivo o terminal del usuario desde un equipo o dominio que no es gestionado por el titular del servicio al que se ha conectado el usuario, sino por un tercero que tiene un acuerdo con el titular del servicio.

2. Según el plazo de conservación:

Cookies de sesión. Recaban y almacenan los datos cuando el usuario accede a una página web. Suelen conservar información que solo interesa para la prestación del servicio solicitado.
Cookies persistentes. Aquellas en las que los datos siguen almacenados en el terminal y pueden ser accedidos y tratados durante un periodo definido por el responsable de la cookie (minutos o años).

3. Según su finalidad:

Cookies técnicas. Aquellas que permiten al usuario la navegación a través de una página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios que en ella existan, incluyendo aquellas que el editor utiliza para permitir la gestión y operativa de la página web y habilitar sus funciones y servicios, como, por ejemplo, controlar el tráfico y la comunicación de datos, identificar la sesión, etc.
Cookies de personalización. Aquellas que permiten recordar información para que el usuario acceda al servicio con determinadas características que pueden diferenciar su experiencia de la de otros usuarios, como, por ejemplo, el idioma, el número de resultados a mostrar cuando el usuario realiza una búsqueda, etc.
Cookies analíticas. Aquellas que permiten al responsable de las mismas el seguimiento y análisis del comportamiento de los usuarios de los sitios web a los que están vinculadas, incluida la cuantificación de los impactos de los anuncios.
Cookies publicitarias. Aquellas que permiten gestionar la oferta publicitaria en función del contenido del servicio solicitado o al uso que se realice de la página web. Realizan un perfilado de navegación.

¿Qué cookies utiliza la web?

 

¿Cómo bloquear las cookies?
El usuario puede permitir, bloquear, revocar o eliminar las cookies instaladas en su equipo mediante la configuración de las opciones de su navegador. Puedes encontrar información sobre cómo hacerlo, en los siguientes links:

Edge.
Chrome.
Firefox.
Safari.
Opera.

Estos navegadores están sometidos a actualizaciones o modificaciones, por lo que no podemos garantizar que se ajusten completamente a la versión de su navegador. Para evitar desajustes, puede acceder directamente desde las opciones de su navegador, sección “Privacidad” (por lo general).

Debe tener en cuenta que la desactivación de alguna cookie puede impedir o dificultar la navegación o prestación de los servicios ofrecidos en la web.

Transferencias internacionales
No se producen transferencias internacionales de datos personales a terceros países fuera de la UE o Espacio Económico Europeo.

Protección de datos
Para conocer más sobre protección de datos, y los derechos que le asisten en la materia, puede acudir a lo establecido en nuestra “Política de Privacidad

Modificaciones
La presente política de cookies puede verse modificada en función de las exigencias legalmente establecidas o debido a instrucciones de la Agencia Española de Protección de Datos, o cambios en la Web.

Aconsejamos a los usuarios visitar periódicamente nuestra Política de Cookies.

Ante cualquier duda, contactar con CSIRT-CV a través de la dirección csirtcv@gva.es o en el siguiente formulario web.

VMware s’enfronta a vulnerabilitats crítiques en ESXi i Workstation

VMware ha llançat actualitzacions de seguretat després d’identificar diverses vulnerabilitats crítiques en els seus productes ESXi i Workstation, segons ha informat SecurityWeek.

Una de les vulnerabilitats més importants és la CVE-2023-34048, que afecta VMware ESXi i VMware Workstation. Aquest error permet l’execució remota de codi (RCE), la qual cosa significa que un atacant remot no autenticat podria executar ordres arbitràries en el sistema afectat. La vulnerabilitat ha estat catalogada com a crítica pel seu elevat risc, ja que els atacants poden comprometre l’entorn virtualitzat sense necessitar autenticació prèvia.

Una altra vulnerabilitat destacada és la CVE-2023-34056, que també afecta ESXi, Workstation, i Fusion. Aquest error provoca una fugida d’informació, que podria permetre a un atacant obtindre dades sensibles del sistema compromès. Si bé aquesta vulnerabilitat no permet accedir directament al sistema, la informació revelada podria ser usada per a executar altres tipus d’atacs més complexos.

A més, VMware ha corregit una vulnerabilitat de denegació de servei (DoS), identificada com CVE-2023-34059. Aquesta vulnerabilitat permet a un atacant, mitjançant peticions malformades, interrompre els serveis del hipervisor ESXi, deixant els entorns virtualitzats inoperatius fins a una intervenció manual.

Recomanacions

VMware recomana als administradors de sistemes que apliquen els pegats corresponents al més prompte possible, ja que els productes afectats són àmpliament utilitzats en entorns corporatius i empresarials. El risc d’explotació d’aquestes vulnerabilitats és alt, especialment en servidors exposats a Internet, per la qual cosa és crucial actualitzar els sistemes i aplicar les mesures de mitigació recomanades.

Referències

Ciberatac en la web de Lego mostra anuncis d’una estafa de criptomonedes

Recentment, el lloc web de LEGO ha sigut compromés en un ciberatac, on els delinqüents han injectat codi maliciós per a promoure una criptoestafa anomenada «Lego Coin».

Aquesta intrusió redirigia els visitants a una pàgina fraudulenta dissenyada amb un aspecte convincent per a simular una oferta legítima, que incitava els usuaris a invertir en una criptomoneda falsa denominada «Lego Coin». Els atacants utilitzaven tècniques d’enginyeria social per a guanyar-se la confiança de les víctimes, presentant testimoniatges falsos i promeses d’alts rendiments. L’objectiu era enganyar els usuaris per a que proporcionaren les seues dades personals i financeres, amb la finalitat de robar fons o utilitzar aquesta informació per a futures activitats malicioses.

Encara que LEGO va aconseguir eliminar ràpidament el contingut maliciós i restablir la seguretat del seu lloc web, aquest incident subratlla la importància crítica de comptar amb mesures de ciberseguretat sòlides i actualitzades. A més, destaca la necessitat d’educar els usuaris sobre els riscos associats amb les estafes en línia i com identificar senyals d’alerta quan es tracta d’inversions en criptomonedes. En un entorn on les tècniques d’atac evolucionen constantment, és fonamental que tant les empreses com els usuaris estiguen sempre vigilants i preparats per a enfrontar aquestes amenaces digitals en temps real.

L’atac al lloc web de LEGO ressalta com, fins i tot, les marques més grans poden ser objectiu dels ciberdelinqüents. Les empreses han de prioritzar la seguretat en les seues plataformes digitals, utilitzant eines de monitorització per a detectar i respondre ràpidament davant qualsevol activitat sospitosa. Els usuaris, per la seua banda, han de romandre atents i seguir bones pràctiques de seguretat per a protegir-se d’enganys potencials.

 

Aquest incident ens recorda que, en el món digital, la precaució i l’educació són les nostres millors eines per a evitar caure en trampes. Mantindre’s informat sobre les tàctiques dels ciberdelinqüents i prendre mesures proactives és essencial per a protegir tant les nostres inversions com les nostres dades. Per aquesta raó, és fonamental que tot tipus d’empreses, independentment de la seua grandària, compten amb un sistema de ciberseguretat sòlid que els permeta anticipar i respondre a aquestes amenaces.

Fuente: https://unaaldia.hispasec.com/2024/10/lego-coin-ciberataque-en-la-web-de-lego-muestra-anuncios-de-cripto-estafa.html