CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

20/09/2013

Boletín 07/09/2013 - 20/09/2013

Se ha publicado una vulnerabilidad día-0 que afecta a Internet Explorer (en todas sus versiones) y que permitiría la ejecución remota de código simplemente con visitar una página web especialmente preparada. Al parecer se está utilizando activamente en Internet para infectar equipos y ha obligado a Microsoft a publicar un fix-it que lo soluciona temporalmente mientras se desarrolla la actualización. 

La semana pasada Microsoft liberó los boletines de actualizaciones correspondientes al mes de septiembre en los que se actualizaba Internet Explorer, pero no soluciona esta última vulnerabilidad. Consta de trece boletines de seguridad, siendo 4 de ellos críticos y el resto importantes. Se centran en Office, Windows, Internet Explorer y SharePoint.

Dentro de este grupo de parches Microsoft ha tenido que actualizar los boletines MS13-067 (SharePoint), MS13-072 (Office 2007 – 2010), MS13-073 (Excel) y MS13-074 (Office 2013) porque en algunos sistemas no se instalaban correctamente y aparecían repetidamente como actualizaciones pendientes.

En otro orden de cosas, Vodafone ha sufrido un ataque en Alemania que afecta a dos millones de usuarios. En este ataque se ha conseguido acceder a la información de los clientes, incluyendo datos personales y su cuenta bancaria. El ataque se realizó desde la infraestructura de la propia compañía.

El cibercrimen provoca pérdidas mundiales de hasta 300.000 millones de dólares, por encima de la piratería y el tráfico de drogas, según el estudio "Impacto Económico de la Ciberdelincuencia y el Ciberespionaje", publicado por el Centro de Estrategia y Estudios Internacionales de Estados Unidos (CSIS) y McAfee.

Un estudio presentado por Core Security revela que los directores generales de las compañías poseen una escasa o nula comunicación con los responsables del área de seguridad informática. Esta situación, según informes de los analistas, le cuesta a las organizaciones más de 30.000 millones al año a nivel global.

El Gobierno ha aprobado el anteproyecto de la nueva ley General de Telecomunicaciones y la ha remitido al Congreso. En cuanto a los operadores, eleva las garantías en seguridad de las redes y servicios de comunicaciones electrónicas, en especial frente a situaciones que atenten contra la integridad de las infraestructuras críticas y el funcionamiento de los sistemas informáticos. Entre varias novedades, también modifica algunos aspectos  de la ley 34/2002 LSSI y la ley 59/2003 de Firma Electrónica.

Actualizaciones de programas:

Apple acaba de publicar la actualización de su sistema operativo para dispositivos móviles IOS 7, y recomienda actualizar ya que corrige un total de 24 vulnerabilidades, entre ellas, denegación de servicio, control del dispositivo, y revelado de información sensible, entre otros.

Adobe también ha hecho público su boletín trimestral, con parches que afectan a Flash Player, AIR, Shockwave Player y Adobe. Aunque no ofrecen detalles sobre las vulnerabilidades corregidas, mitigan fallos que implicarían ejecución de código malicioso y denegación de servicio.

El conocido framework de desarrollo web en Python, Django, ha publicado dos boletines de seguridad, arreglando numerosos problemas de seguridad, y recomendándose actualizar a la última versión disponible.

Por último, destacable también las vulnerabilidades encontradas en el software HP ProCurve Manager, siendo vulnerable a ataques de inyección de código SQL y comprometer un sistema vulnerable. HP recomienda actualizar lo antes posible a la última versión del software.

 

Últimas Alertas Últimas Noticias

CSIRT-CV