Avisos de seguridad

1. Actualización de Oracle Java SE

   Fecha de publicación: 17/07/2019

   Importancia: Alta

   Recursos afectados:

   • Oracle Java SE, versiones 7u211, 8u212, 11.0.3, 12.0.1
   • Oracle Java SE Embedded, versión 8u211

   Descripción:

   Oracle publica periódicamente actualizaciones que solucionan fallos críticos de seguridad de sus productos. El aviso de actualización, de este mes de julio, incluye la solución a diez fallos de seguridad de JAVA SE, nueve de los cuales podrían ser explotados remotamente sin autenticación, es decir, a través de una red sin necesidad de credenciales de usuario.

   Solución:

   Las actualizaciones están formadas por parches que solucionan los distintos fallos de seguridad detectados. Se recomienda aplicar esta actualización de seguridad lo antes posible.

   NOTA: Para activar Java, configurarlo o realizar la actualización tienes que entrar en el ordenador con un usuario que tenga permisos de administrador.

   Si necesitas activar Java puedes realizarlo de dos formas:

   • Desde el panel de control en Windows y OSx.
   • Desde los navegadores Explorer, Firefox o Safari y Opera (Chrome no soporta Java desde su versión 42).

   También puedes configurar las actualizaciones automáticas en Windows y en OSx.

   

   Si no tienes activadas las actualizaciones automáticas recomendamos:

   1. Comprobar la versión de Java que tienes instalada desde el navegador.

   

   Al aceptar, comprobará la versión que tienes instalada y, si fuera necesario, te recomendará la actualización más conveniente para tu sistema.

   2. También puedes actualizar directamente Java, en tu ordenador, a la última versión.
   3. Para realizar otras acciones de seguridad relativas a Java tales como eliminar versiones antiguas, configurar el nivel de seguridad o rechazar aplicaciones de origen desconocido, consulta estos consejos de seguridad.

   Recuerda que tener actualizados todos los productos que utilizas es una buena práctica para evitar ser objeto de ataques.

   ¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines o al perfil de twitter @ProtegeEmpresa y Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad: 900 116 117.

    

    

    

   Detalle:

   Java es un software que es necesario activar en los navegadores para utilizar ciertos programas integrados en los sitios webs. Este tipo de programas se utilizan en las aplicaciones de la Agencia Tributaria (IVA, impuesto sociedades,etc.), Seguridad Social, Registro Mercantil y en algunas webs de banca online.

   Antes de actualizar aquellos equipos que interactúen con estas páginas, revisa previamente los requisitos técnicos, por ejemplo, en estos enlaces de la Agencia Tributaria y la sede de la Seguridad Social.

   Los fallos críticos detectados en los productos afectados podrían permitir a un usuario remoto conseguir privilegios de administrador, acceder y modificar datos del sistema y dejar inactivo o no accesible el servicio. 

   Tu soporte tecnológico puede consultar una solución más técnica en el área de avisos de INCIBE-CERT.

   

   Etiquetas: Actualización, Oracle

2. Nueva actualización de la plataforma Moodle

   Fecha de publicación: 16/07/2019

   Importancia: Baja

   Recursos afectados:

   Versiones de Moodle: 3.7, 3.6 a 3.6.4, 3.5 a 3.5.6 y versiones anteriores sin soporte.

   Descripción:

   La plataforma de formación online, Moodle, ha publicado una serie de actualizaciones de seguridad que afectan a distintas versiones y que solucionan cinco vulnerabilidades.

   Solución:

   Se recomienda actualizar Moodle a las últimas versiones que corrigen dichas vulnerabilidades, accediendo a los siguientes enlaces: 3.7.1, 3.6.5 y 3.5.7 respectivamente.

   ¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines o al perfil de twitter @ProtegeEmpresa y Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad: 900 116 117.

   Detalle:

   Estas actualizaciones corrigen los problemas de seguridad que se detallan a continuación:

   • La biblioteca de terceros TCPDF utilizada por Moodle para crear ficheros PDF requiere actualizarse para corregir errores, incluyendo una corrección de seguridad.
   • Los profesores de un grupo de trabajo (assignment group) pueden realizar cambios en otros grupos del mismo trabajo.
   • Los profesores de un grupo de prueba (quiz group) pueden realizar cambios en otros grupos de la misma prueba.
   • Los usuarios con permisos para borrar entradas de un glosario podrían borrar entradas de otros glosarios a los que no tienen acceso directo.
   • La carga y descarga de archivos XML no está protegida frente a ataques de tipo Cross-site scripting (XSS), lo que podría permitir la inyección de código malicioso en la plataforma.

   Recuerda la importancia de mantener tus sistemas y aplicaciones siempre actualizados y sigue estos consejos:

   • Política de actualizaciones de software
   • Minimiza los riesgos de un ataque: ¡actualiza el software!
   • Buenas prácticas en el área de informática
   • Utiliza los 5 sentidos para prevenir incidentes de ciberseguridad
   • Evalúa los riesgos de tu empresa en tan solo 5 minutos

   

   Etiquetas: Actualización, Gestor de contenidos, Vulnerabilidad

3. Nueva versión de Joomla! Actualiza tu gestor de contenidos

   Fecha de publicación: 11/07/2019

   Importancia: Baja

   Recursos afectados:

   Versiones de Joomla! de la 3.9.7 a 3.9.9.

   Descripción:

   Se ha publicado una nueva actualización de seguridad del gestor de contenidos Joomla! que da solución a una vulnerabilidad que afecta a su núcleo (core).

   Solución:

   Si la versión que tienes instalada se encuentra entre las citadas anteriormente, te recomendamos que actualices a la última versión 3.9.10, que encontrarás en la web oficial de Joomla! o desde el panel de administración del propio gestor de contenidos.

   En caso de contar con un proveedor externo, remítele esta información para que pueda aplicar estas actualizaciones de seguridad, a través de los siguientes pasos:

   En primer lugar, deberás acceder a la consola de administración. Por lo general, la ruta es http://MIDOMINIO/”alias_backend” (generalmente «administrator»).

   

   Una vez hayas accedido, podrás comprobar cómo el propio gestor te muestra un aviso a través de un mensaje situado en la parte superior de la pantalla. En él se detalla la existencia de una nueva versión de Joomla! En este caso, la 3.9.10:

   

   Al hacer clic sobre el botón «Actualizar ahora», irás a una otra pantalla donde únicamente deberás pulsar el botón «Instalar la actualización». El resto del texto es meramente informativo:

   

   Tras este paso, se arrancará el proceso de instalación:

   

   Una vez haya concluido dicho proceso, se mostrará el siguiente mensaje: «Su sitio ha sido actualizado correctamente». En este momento, el gestor de contenidos, ya estará actualizado a la última versión disponible.

   

   Importante: antes de hacer este tipo de acciones en entornos de producción, es recomendable realizar las pruebas previas en entornos de preproducción para comprobar que todo funciona correctamente tras la actualización.

   ¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines o al perfil de twitter @ProtegeEmpresa y Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad: 900 116 117.

   Detalle:

   Joomla! ha publicado una nueva versión del gestor de contenidos que corrige una vulnerabilidad que podría permitir a un atacante, con usuario en el sistema, ejecutar comandos en el Joomla! desactualizado de la víctima.

   Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue este checklist para evitar posibles ataques de ciberdelincuentes. Algunos de ellos te los explicamos a través de casos reales:

   • Mi página web trabajaba en la mina
   • Plantillas originales, en repositorios oficiales
   • Buenas prácticas para navegar seguros por la red
   • Mi página web está suplantando a una web bancaria

   En caso de disponer de soporte tecnológico, el personal puede consultar una información más técnica a través del servicio de avisos de INCIBE-CERT.

   

   Etiquetas: Actualización, Gestor de contenidos, Vulnerabilidad

4. Si utilizas Magento para tu comercio electrónico, ¡actualiza!

   Fecha de publicación: 26/06/2019

   Importancia: Crítica

   Recursos afectados:

   • Versiones de Magento Commerce de 1.9.0.0 a 1.14.4.1;
   • Versiones de Magento Open Source de 1.5.0.0 a 1.9.4.1;
   • Versiones de Magento Commerce y Open Source anteriores a 2.3.2, 2.2.9 y 2.1.18. 
      

   Descripción:

   El gestor de contenidos de tiendas online, Magento, ha publicado varias actualizaciones de seguridad que dan solución a múltiples vulnerabilidades. 

   Solución:

   Se recomienda instalar los parches correspondientes según se indica en las direcciones web de la sección referencias, o actualizar Magento a las últimas versiones, tanto de Commerce, como de Open Source.

   Importante: antes de hacer este tipo de acciones en entornos de producción, es recomendable realizar pruebas previas en entornos de preproducción para comprobar que todo funciona correctamente tras la actualización.

   Nota: la versión 2.1.18 es la última versión de Magento 2.1.x. Después del 30/06/2019 Magento 2.1.x no recibirá más actualizaciones de seguridad, ni de corrección de errores.

   ¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines o al perfil de twitter @ProtegeEmpresa y Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad: 900 116 117.
    

   Detalle:

   Esta actualización corrige múltiples vulnerabilidades, entre otras:

   • un usuario autenticado con privilegios podría ejecutar  código a través de inyección objetos PHP, carga de archivos csv, diseños XML maliciosos o plantillas del email, entre otras.
   • un atacante podría ejecutar comandos SQL que permitirían accesos a la base de datos, ofreciendo la posibilidad de robar todo tipo de información en ella contenida;
   • usuarios no autenticados podrían asignarse privilegios y  acceder a información confidencial, realizar cambios de configuración y eliminar controles de seguridad;
   • vulnerabilidades de tipo Cross-site scripting (XSS) del panel de administración que permitirían la inyección de código malicioso en el gestor de contenidos, afectando tanto a clientes, como a administradores.

   Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue este checklist para evitar posibles ataques de ciberdelincuentes, algunos de ellos explicados a través de casos reales:

   • Mi página web trabajaba en la mina
   • Plantillas originales, en repositorios oficiales
   • Buenas prácticas para navegar seguros por la red
   • Mi página web está suplantando a una web bancaria
      

   

   Etiquetas: Actualización, Gestor de contenidos, Vulnerabilidad

5. Actualización de seguridad de Outlook para Android

   Fecha de publicación: 21/06/2019

   Importancia: Alta

   Recursos afectados:

   Cualquier usuario que utilice el gestor de correo Microsoft Outlook (versiones anteriores a la 3.0.88) en dispositivos con sistema operativo Android.

   Descripción:

   Microsoft ha lanzado una actualización del gestor de correo Outlook para Android que soluciona una vulnerabilidad que afecta a la forma en la que el software analiza los correos entrantes.

   Solución:

   Microsoft ha lanzado una actualización de seguridad que se descarga a través de la plataforma Google Play. Sigue los pasos que detallamos a continuación para descargar e instalar la nueva versión de Outlook:

   • Toca el ícono de «Google Play» en la pantalla de inicio.
   • Accede a «Mis aplicaciones y juegos».
   • Pulsa en el cuadro «Actualizar» tal como se muestra en la siguiente imagen.

   

   ¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines o al perfil de twitter @ProtegeEmpresa y Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad: 900 116 117.

    

   Detalle:

   Existe una vulnerabilidad de tipo Cross-site scripting (XSS) almacenado en la forma en la que la aplicación trata los mensajes de correo entrante en Microsoft Outlook para Android. Si dicha vulnerabilidad es explotada con éxito se podrían llevar a cabo ataques que permitirían al atacante ejecutar código malicioso en el dispositivo de la víctima.

   La actualización de seguridad aborda la vulnerabilidad corrigiendo la forma en que Outlook para Android analiza los mensajes de correo electrónico especialmente modificados (email spoofing).

   Sigue nuestros consejos para configurar el correo electrónico de tu empresa de forma segura:

   • ¿Seguridad en el correo electrónico? Sí, en tan solo 10 pasos
   • Historias reales: ¿Alguien está mandando correos en mi nombre?
   • ¿Dudas sobre la legitimidad de un correo? Aprende a identificarlos

   

   Etiquetas: Actualización, Vulnerabilidad