Categoría: Actualidad

Se ha descubierto y corregido una vulnerabilidad de seguridad en los sistemas iOS y macOS de Apple que, si es explotada con éxito, permite eludir el marco de Transparency, Consent, and Control (TCC). Esto puede resultar en el acceso no autorizado a información sensible, poniendo en riesgo la privacidad del usuario.

Análisis

CVE-2024-44131 es una vulnerabilidad que permite a una aplicación maliciosa interceptar acciones realizadas por el usuario dentro de la app Archivos. Utilizando enlaces simbólicos (symlinks), un atacante puede redirigir archivos hacia ubicaciones bajo su control sin que el usuario sea notificado. Esto incluye acceso potencial a datos sensibles como archivos, carpetas, datos de salud, micrófono y cámara.

Recursos afectados

Recomendaciones

Instalar las versiones más recientes de iOS, iPadOS y macOS disponibles.

Referencias

• • https://thehackernews.com/2024/12/researchers-uncover-symlink-exploit.html
  • https://www.jamf.com/blog/tcc-bypass-steals-data-from-icloud/

El Centro de Seguridad TIC de la Comunitat Valenciana (CSIRT-CV) ha impartido junto con el Institut Valencia D’Administració Pública (IVAP) una nueva edición del curso Desarrollo Seguro de Aplicaciones, cuyo objetivo es objetivo reforzar las competencias de los desarrolladores y profesionales tecnológicos de la Administración Pública en la creación de un software más robusto y protegido frente a ciberataques.

El curso, perteneciente al Plan Especial de Formación del centro de ciberseguridad valenciano, está dirigido a los técnicos de la Dirección General de Tecnologías de la Información y las Telecomunicaciones (DGTIC) y de otras Consellerias.

En un contexto en el que las amenazas digitales son cada vez más sofisticadas, es crucial garantizar que los desarrolladores de nuestras administraciones públicas adopten prácticas de ciberseguridad desde las primeras etapas del desarrollo de software para proteger la información.

El curso ha abarcado desde principios fundamentales de programación segura hasta la identificación y mitigación de vulnerabilidades comunes como inyecciones de código, errores de configuración o accesos no autorizados. Además, se han presentado herramientas prácticas para la detección de fallos y estrategias avanzadas de diseño seguro.

Los 17 asistentes han destacado la utilidad del enfoque práctico del curso de 30 horas lectivas, que ha incluido simulaciones de ataques reales realizadas por el Red Team del CSIRT-CV. Estas prácticas han permitido a los participantes experimentar de primera mano las tácticas de los atacantes y aprender a cómo prevenirlas.

Con esta iniciativa, el CSIRT-CV reafirma su compromiso con la ciberseguridad en el ámbito público, velando por que las aplicaciones utilizadas por la ciudadanía y los organismos gubernamentales cumplan con los más altos estándares de seguridad.

Para más información sobre los cursos disponibles de CSIRT-CV, accede a la página de concienciaT. Si eres personal de la Generalitat, además puedes consultar la página del IVAP para ampliar tus conocimientos en diferentes materias relacionadas con la ciberseguridad.

CSIRTCV presenta la campaña de concienciación Contra la desinformación, stop bulos con el objetivo de plantear y analizar, desde el punto de vista de la Ciberseguridad, cómo influyen los bulos y fake news (noticias falsas) en situaciones de emergencia como podrían ser incendios, inundaciones, erupciones volcánicas, terremotos, huracanes, tsunamis… y las consecuencias negativas que generan en los ciudadanos.

Como hemos dicho en multitud de ocasiones, los bulos y fake news se propagan a una velocidad vertiginosa a través de las redes sociales, Internet y aplicaciones de mensajería instantánea como WhatsApp con la finalidad de desinformar, manipular y engañar a los usuarios, así como causar polémica, desprestigiar o enaltecer a sujetos u organizaciones, generar una opinión sesgada en la sociedad o provocar problemas de orden público a cambio de un beneficio económico.

Mediante nuestra campaña, os mostraremos cómo se generan los bulos, cómo se expanden, cómo podemos detectarlos y cómo frenarlos. Para ello, facilitaremos diversos tipos de contenido y material que iremos publicando en nuestros perfiles de Facebook y X entre

Nuestro objetivo: que nuestros seguidores sean capaces de desarrollar el sentido crítico acerca de la información que reciben y sean capaces de identificar fake news, evitando así distribuirlas a sus contactos y personas cercanas. ¿Te sumas a nuestro reto?

Puedes seguir nuestra campaña en las redes sociales de CSIRT-CV: X (@CSIRTCV) y Facebook (CSIRT-CV) o buscando los hashtags: #ContraLaDesinformacion #StopBulos 

•  

Adobe ha lanzado sus actualizaciones de seguridad de diciembre de 2024 para abordar un total de más de 160 vulnerabilidades en 16 de sus productos. Estas actualizaciones incluyen correcciones para una serie de vulnerabilidades que van desde severidades críticas hasta medianas, las cuales pueden ser explotadas para ejecutar código de manera arbitraria o eludir características de seguridad. Adobe ha corregido problemas importantes en productos como Adobe Experience Manager, Connect, Animate, InDesign, Substance 3D Modeler, Acrobat, Reader, entre otros.

Análisis

De las más de 160 vulnerabilidades corregidas, más de 90 fueron solucionadas en Adobe Experience Manager. La mayoría de estas vulnerabilidades tienen una severidad media (según la puntuación CVSS) y permiten la ejecución de código arbitrario, además de que algunas pueden ser utilizadas para eludir características de seguridad. CVE-2024-43711 es la única vulnerabilidad con severidad crítica (alta según CVSS), que permite la ejecución de código de manera arbitraria.

Otro conjunto importante de correcciones se encuentra en Adobe Connect, donde se han corregido 22 vulnerabilidades, incluidas varias de severidad crítica y alta que permiten la ejecución de código arbitrario y la escalada de privilegios.

Para Adobe Animate, se han corregido más de una docena de vulnerabilidades, todas descritas como problemas críticos (alta severidad según CVSS), que pueden permitir la ejecución de código arbitrario.

En Adobe InDesign, se han corregido nueve vulnerabilidades, incluidas fallos de ejecución de código arbitrario. De manera similar, Substance 3D Modeler ha recibido la corrección de nueve vulnerabilidades, que pueden llevar a la ejecución de código arbitrario o a una condición de DoS (Denegación de Servicio).

En Substance 3D Sampler y Substance 3D Painter, Adobe ha corregido vulnerabilidades de ejecución de código arbitrario, con tres y dos vulnerabilidades solucionadas respectivamente.

Recursos afectados

Las versiones afectadas de los productos de Adobe incluyen una amplia gama de software, como Adobe Experience Manager, Adobe Connect, Adobe Animate, Adobe InDesign, Adobe Acrobat, Adobe Reader, Adobe Illustrator, Adobe Photoshop, y Adobe After Effects, entre otros. Estas vulnerabilidades pueden afectar tanto a usuarios individuales como a organizaciones que utilizan estos programas para gestionar o crear contenido multimedia.

Recomendaciones

Aplicar las actualizaciones de seguridad de diciembre de 2024 para todos los productos de Adobe mencionados, incluidas las correcciones para vulnerabilidades críticas como CVE-2024-43711.

Referencias

• • https://www.securityweek.com/adobe-patches-over-160-vulnerabilities-across-16-products/
  • https://www.cisa.gov/news-events/alerts/2024/12/10/adobe-releases-security-updates-multiple-products