Parches Java Octubre 2020

Oracle publicó su CPU (Actualizaciones Críticas de Seguridad) de octubre de 2020, corrigiendo 402 fallos de seguridad en productos Oracle. La actualización para Java SE corrige 8 vulnerabilidades, todas pueden ser explotadas de forma remota sin autenticación. Es decir, la vulnerabilidad puede ser explotada sobre una red sin la necesidad de utilizar una cuenta de usuario y contraseña. La nueva versión del popular software para el navegador es Java 8 Update 271. Es recomendable actualizar Java tan pronto como sea posible, previa realización de alguna prueba del impacto en aplicaciones dependientes de Java. Es recomendable que el usuario verifique que utiliza versiones Leer más…

Martes de Parches Octubre 2020

Microsoft corrigió 11 vulnerabilidades críticas de seguridad. El martes de parches de este mes, Microsoft publicó actualizaciones de seguridad para 87 vulnerabilidades en los productos: Microsoft Windows Microsoft Office and Microsoft Office Services and Web Apps Microsoft JET Database Engine Azure Functions Open Source Software Microsoft Exchange Server Visual Studio PowerShellGet Microsoft .NET Framework Microsoft Dynamics Adobe Flash Player Microsoft Windows Codecs Library De las vulnerabilidades corregidas, 11 son de severidad Crítica y se encuentran principalmente en SharePoint, Office, Flash Player, y Windows. Entre las actualizaciones publicadas, destacan las correcciones a la vulnerabilidades en TCP/IP de Windows (CVE-2020-16898), para evitar que Leer más…

Facilitar el pago de rescate por ransomwre podria ser sancionado en EEUU

La Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de los Estados Unidos ha emitido un aviso sobre los riesgos de sanciones a las personas que faciliten el pago de rescates por ransomware. Las sanciones podrían variar desde sanciones civiles y multas hasta cargos penales. Durante la pandemia del COVID-19, la demanda de pagos de ransomware ha aumentado. Las empresas que facilitan los pagos de ransomware a los ciberdelincuentes, en nombre de las víctimas, incluídas instituciones financieras, empresas de seguros cibernéticos y empresas involucradas en análisis forense digital y respuesta a incidentes, no sólo fomentan futuras demandas Leer más…

Resurge Emotet, troyano distribuido en correo phishing

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el Centro de Análisis e Intercambio de Información Multi-Estado (MS-ISAC), de los Estados Unidos, han alertado sobre el resurgimiento de Emotet, un troyano que se propaga a través de archivos adjuntos de correo electrónico de phishing y enlaces web, para infectar de malware a los equipos víctima. Intenta propagarse en la red a través de fuerza bruta de las credenciales de usuario y la escritura en unidades compartidas. Utiliza bibliotecas de vínculos dinámicos modulares para evolucionar y actualizar continuamente sus capacidades. Debido a sus características tipo gusano para infecciones en Leer más…

Aguantando desde casa. El impacto de COVID-19 en la seguridad del negocio: Informe Malwarebytes

La empresa de seguridad Malwarebytes ha publicado su estudio “Enduring from Home. COVID-19’s impact on business security“, con base en los resultados de una encuesta a más de 200 ejecutivos de TI y de ciberseguridad de Estados Unidos. El estudio refiere a la modalidad de trabajo en casa, que las empresas han tenido que adoptar para seguir funcionando frente a la pandemia del COVID-19. La comunicación debe adaptarse a los modelos en línea de correo electrónico, mensajería instantánea y videoconferencia; la colaboración debe moverse hacia plataformas de almacenamiento basadas en la nube; y mantener el negocio a flote debe tener Leer más…

NIST publica la Revisión 5 de los Controles de Seguridad y Privacidad para Organizaciones y Sistemas de Información (SP 800-53)

El Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos ha publicado la quinta revisión de la Publicación Especial 800-53 Controles de Seguridad y Privacidad para Organizaciones y Sistemas de Información, que data del 2005. NIST Special Publication (SP) 800-53, Revision 5, Security and Privacy Controls for Information Systems and Organizations proporciona un catálogo de controles de seguridad y privacidad para proteger las operaciones y los activos de la organización, las personas, otras organizaciones y a los Estados Unidos de Norteamérica de un conjunto diverso de amenazas y riesgos, incluidos ataques hostiles, errores humanos, desastres naturales, fallas estructurales, entidades Leer más…

Microsoft anuncia Project OneFuzz para fuzzing de software

Microsoft ha anunciado la disponibilidad de Project OneFuzz, una herramienta de desarrollador de código abierto para encontrar y corregir errores a escala. Fuzzing es una técnica utilizada para probar el software y encontrar problemas de seguridad. Las pruebas fuzz han sido un arma de doble filo para los desarrolladores: exigidas por el ciclo de vida del desarrollo de software, altamente efectivo para encontrar fallas procesables, pero muy complicado de aprovechar, ejecutar y extraer información. Project OneFuzz permite el fuzzing continuo impulsado por el desarrollador para fortalecer proactivamente el software antes de su lanzamiento. Permitir que los desarrolladores realicen pruebas de Leer más…

Reporte del Estado de la Seguridad del Correo Electrónico 2020

La empresa Mimecast ha publicado el informe “The State of Email Security Report“, que incluye información sobre la seguridad del correo electrónico, en el perímetro de su correo electrónico, dentro de su organización y más allá. El correo electrónico sigue siendo el vector de ataque más popular, a través de organizaciones en sus perímetros de correo electrónico, desde dentro de la organización (a través de cuentas comprometidas, información privilegiada vulnerable, ingeniería social) o más allá de los perímetros de la organización (los dominios que poseen y sus marcas a través de la suplantación de identidad). Encargado a la firma de Leer más…