Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
08/03/2013
Boletín 23/02/2013 - 08/03/2013
Se celebra en Vancouver la conferencia de seguridad CanSecWest en la que dentro del concurso Pwn2Own se ha conseguido explotar varias vulnerabilidades de los navegadores Internet Explorer 10, Chrome y Firefox. El concurso Pwn2Own está patrocinado por HP y Google entre otros, cuenta con más de medio millón de dólares en premios y su objetivo es encontrar nuevas vulnerabilidades que mejoren la seguridad de los navegadores web y plugins. Dentro de este concurso también se ha conseguido explotar varias vulnerabilidades en Java.
Fuera ya del tema de Vancuver, una semana después de descubrirse dos vulnerabilidades de Java, una empresa de seguridad polaca ha informado del hallazgo de cinco más en la última versión de Java, que, utilizadas, permitirían eludir el sandbox con el fin de instalar malware, además una de estas vulnerabilidades está siendo explotada en Internet. La próxima actualización regular estaba prevista para el 16 de abril pero Oracle se ha visto obligado a liberar una nueva actualización antes de lo previsto. Se recomienda desinstalar Java en los navegadores en caso de no necesitarlo.
La plataforma Evernote (aplicación multiplataforma de almacenamiento de información en la nube) ha sido víctima de un ataque informático en el que los cibercriminales han tenido acceso a las cuentas de los usuarios, direcciones de correo electrónico y contraseñas. Aunque las contraseñas están cifradas la compañía ha instado a sus 50 millones de usuarios a cambiarlas para evitar un posible compromiso de las cuentas. Evernote es la última víctima de una serie de ataques dirigidos contra compañías tecnológicas, entre las que se incluyen Apple, Microsoft, Twitter o Facebook tal como comentamos anteriormente.
El Ministerio de Defensa ha creado el Mando Conjunto de Ciberdefensa, que dirigirá y coordinará las acciones de las Fuerzas Armadas frente a los ciberataques para dar una respuesta adecuada ante amenazas o agresiones que puedan afectar a la defensa nacional. También deberá cooperar con los centros nacionales de respuesta a incidentes de seguridad siguiendo la estrategia nacional de ciberseguridad.
Desde el CCN-CERT han publicado un informe sobre los riesgos derivados del uso de las redes sociales que incluye una guía de buenas prácticas junto con las configuraciones básicas de seguridad en las principales plataformas.
Por nuestra parte, hemos iniciado una campaña de información sobre la aplicación WhatsApp titulada: WhatsApp... todo lo que realmente hay que saber. Se puede seguir a través de nuestra página de Facebook o en Twitter(@csirtcv)
Esta semana también hemos publicado un listado de comandos (cheat sheet) de la herramienta de análisis Nmap 6.Recordamos que también se puede realizar gratuitamente el curso sobre esta herramienta a través de la plataforma SAPs.
Actualizaciones de programas:
Se han descubierto múltiples vulnerabilidades en varios módulos de Drupal, entre ellas una de Denegación de Servicio en el módulo Image del núcleo de Drupal. Se recomienda actualizar los módulos afectados a la última versión y tener actualizado el núcleo de Drupal a la última versión estable publicada, la 7.20.
Adobe ha publicado un boletín de seguridad con actualizaciones para solucionar varias vulnerabilidades de su producto Flash Player. Se recomienda aplicarlas lo antes posible.