Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

19/10/2012

Boletín 06/10/2012 - 19/10/2012

La semana pasada Microsoft publicó los boletines correspondientes al mes de octubre.  Se trata de siete boletines que solucionan un total de 20 vulnerabilidades. En este caso, solo hay un boletín categorizado como crítico que afecta a Microsoft Word, mientras que el resto afectan a Microsoft Office, SQL Server, Sharepoint Server y el núcleo de Windows.

Microsoft también ha liberado una actualización (KB2661254) que invalida los certificados cuya clave privada RSA sea inferior a 1024bits. Esto puede ocasionar que aparezca varios problemas mientras se navega por páginas cifradas, en el envío de correo con S/MIME, al instalar ActiveX firmados, ... Una relación de estos problemas aparece en el aviso que ha publicado.

Resaltamos la importancia de aplicar todas estas actualizaciones, más si cabe en equipos Windows XP ya que en el último informe 'Microsoft Security Intelligence Report' se indica que los equipos Windows XP se infectan con una frecuencia dos veces superior a los equipos con Windows 7. Esta información la obtienen al analizar los resultados de la ejecución de la herramienta de eliminación de software malintencionado que viene con las actualizaciones mensuales.  Windows XP SP3 dejará de tener soporte a partir de abril de 2014.

Por su parte Oracle también ha publicado su 'Critical Patch Update' (CPU) de octubre. Se solucionan 140 vulnerabilidades de varios productos entre los que están Java (30 vulnerabilidades), Oracle Database, Fusion Middleware, MySQL, Solaris, VirtualBox, entre otros.  Aun queda por solucionar una vulnerabilidad en Java descubierta por Gowdiak que permitiría ejecución remota de código a través de una página web especialmente formada. Según indica Oracle, se actualizará con los siguientes parches de febrero. Se recomienda actualizar los complementos del navegador a al última versión (se pueden revisar aquí) y eliminar el complemento de Java si no se va a utilizar.

Sobre estas actualizaciones de Oracle cabe destacar la referente a la versión de Java para MAC OS, la cual deshabilita el complemento del navegador.

Dejando de lado las acutalizaciones, la semana pasada el CCN-CERT publicó una nueva versión de la Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información (MAGERIT v3) elaborada por el Consejo Superior de Administración Electrónica y a la que podrán acceder todos los usuarios interesados desde la parte pública del portal www.ccn-cert.cni.es.

Cerramos el boletín semanal con un video en clave de humor que StopBadware ha publicado sobre las infecciones masivas originadas en sitios web ya que son uno de los mayores problemas que enfrenta la seguridad informática actual: basta con que un portal esté comprometido para que pueda infectar a gran parte de sus visitantes. Al respecto, recomendamos utilizar alguna de las herramientas de navegación segura que tenemos en el portal.

* Actualizaciones de programas:

IBM saca una actualización de seguridad para su conocido cliente de Lotus Notes para dispositivos móviles 

En menos de un día, los responsables de Mozilla han solucionado un fallo de seguridad detectado en Firefox 16 que obligó a suspender la descarga de la última versión del navegador web libre. 

Se han descubierto multiples vulnerabilidades en las versiones anteriores a la 3.4.5 del kernel de Linux. 

Adobe ha publicado una actualización de seguridad para diversas versiones de Adobe Flash Player y Adobe AIR. Estas actualizaciones solucionan las vulnerabilidades descubiertas, que pueden afectar al sistema y permitir que atacantes tomen el control de éste. 

CSIRT-CV