Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
05/02/2016
Boletín 26/01/2016 - 05/02/2016
Privacy Shield es el nuevo acuerdo provisional suscrito entre la Unión Europea y Estados Unidos para reemplazar la normativa de transferencia de datos denominada “Puerto Seguro” (Safe Harbour), anulada por el Tribunal de Justicia de la Unión Europea tras la denuncia de un ciudadano austríaco que, tras las filtraciones de Snowden, aseguraba que Safe Harbour no garantizaba la protección de los datos tratados en Estados Unidos.
Tras esta resolución, la UE se dio de plazo hasta el 29 de enero para llegar a un acuerdo, pero de momento aún tiene que ser revisado por todas las autoridades europeas de protección de datos antes de ser aprobado. Después, las empresas estadounidenses deberán cumplir los trámites necesarios para adherirse (que afortunadamente son más restrictivos que con Safe Harbour).
Otro tema a tener en cuenta es que el Reglamento Europeo de Protección de Datos será aprobado este año y se prevé que amplíe su alcance a empresas ubicadas fuera de la Unión Europea. Así pues, aún queda mucho trabajo por delante pero afortunadamente con un marco de referencia que ya está acordado.
En otro orden de cosas, Oracle abandona el mantenimiento y desarrollo de los plugins de java para el navegador a partir de la versión 9 del JDK. La tendencia de los desarrolladores de navegadores modernos viene a restringir el uso de plugins y reducir su soporte. Aquellos que utilicen el plugin de Java tendrán que considerar alternativas como migrar de Java Applets a la tecnología Java Web Start que no necesita plugins.
VirusTotal, ha incorporado la capacidad de analizar firmware sospechoso, el código BIOS que une PC y software cuando se produce el arranque del equipo. Si se infecta la zona de BIOS, el malware puede sobrevivir reinicios, formateos y reinstalaciones. Además, como los antivirus no analizan esta zona, no se suele detectar. Para poder analizar el contenido de la BIOS, primero hay que extraer la información con alguna de las siguientes herramientas y después subirla a Virustotal:
- https://bitbucket.org/blackosx/darwindumper/downloads
- https://github.com/chipsec/chipsec
- https://www.blackhat.com/docs/us-13/US-13-Butterworth-BIOS-Security-Code.zip
- https://flashrom.org/Flashrom
Por último, recordamos que ya está disponible el calendario con recomendaciones de seguridad para este mes. Podéis colaborar enviándonos fotos de la Comunitat Valenciana.
Actualizaciones de programas
Google ha parcheado una serie de vulnerabilidades críticas en Android que podían ser explotadas de forma remota.
La vulnerabilidad más grave permitiría la ejecución de código al recibir ficheros multimedia mediante un correo, acceso a páginas web y MMS. También se conseguiría una situación similar por una vulnerabilidad en un controlador de acceso a redes Wifi.
Que las actualizaciones lleguen a todos los dispositivos con Android, dependerá de los fabricantes. En el caso de Samsung la actualización es mensual y LG también las liberará periódicamente. Recordamos que Google ya no actualiza versiones de Android previas a Kitkat 4.4
OpenSSL ha publicado un boletín donde en el que recomienda actualizar a las versiones 1.0.2f y 1.0.1r para solucionar dos vulnerabilidades detectadas en su producto.
Wordpress publica una nueva actualización de seguridad para actualizar a Wordpress 4.2.2
- Nueva vulnerabilidad en Java - 03/02/2016
- Vulnerabilidades en Cisco - 27/01/2016