Este es un ejemplo de los artículos que semanalmente escribo de forma exclusiva para los mecenas de la Comunidad.
Si quieres recibir contenido exclusivo como éste directamente en tu bandeja de correo, revisa las opciones de mecenazgo de esta página.
*******
Nuevo capítulo de la newsletter semanal sobre ciberseguridad, centrada en las últimas noticias que afectan directamente a usuarios, autónomos, pymes y grandes empresas.
Índice de contenido
KrØØk
Los chicos de ESET descubrieron una vulnerabilidad previamente desconocida en chips Wi-Fi que denominaron KrØØk.
Este fallo de seguridad severo (CVE-2019-15126) provoca que los dispositivos vulnerables usen una clave de cifrado all-zero para cifrar parte de la comunicación del usuario. En un ataque exitoso, esto permite que un adversario descifre algunos paquetes de red inalámbrica transmitidos por un dispositivo vulnerable.
Y ojo, que su impacto podría ser bastante considerable. De más de mil millones de dispositivos con conectividad, que se dice pronto…
Más información: https://pabloygl.es/2HXjnWU (PDF)
Google Chrome
La última actualización del navegador corrige varias vulnerabilidades, entre las que se encuentra tres vulnerabilidades marcadas como graves y una que está siendo explotada activamente.
La vulnerabilidad explotada, con identificador CVE-2020-6418, ha sido descubierta por el investigador Clement Lecigne de Google el pasado día 18 de febrero. Aunque no han facilitado detalles sobre la misma, sí han aclarado que se debe a una confusión entre tipos en su motor Javascript V8.
Tienes más información técnica en este enlace.
Más información: https://pabloygl.es/383NQx9
Decathlon España
La semana pasada Decathlon España confirmó que una brecha de seguridad en su sistema expuso los datos de empleados y 36.704 clientes.
En total 9 GB y 123 millones de registros.
Y me consta que no había un plan de mitigación y compliance hecho…
Más información: https://pabloygl.es/2T2TBGX
Duplicator WP
Los investigadores de Wordfence que descubrieron los ataques in-the-wild dijeron en un post del jueves pasado que 50.000 de esos ataques ocurrieron antes de que el creador del plugin de WordPress Duplicator, Snap Creek, publicara una solución para el error, por lo que se entiende que fue explotado en entornos reales como zero-day.
Si lo estás utilizando, ya sabes lo que toca.
Más información: https://pabloygl.es/2wblzr0
Safari y la cruzada contra los certificados HTTPs antiguos
Ojito que vienen curvas.
La semana pasada Apple anunció que dejará de permitir certificados HTTPS en Safari con más de 13 meses de validez. Cualquier certificado emitido después del 1 de septiembre, con más de 398 días de validez, será rechazado por el navegador de Apple, de forma que veremos la temida advertencia de privacidad. Si el certificado se emitió antes del 1 de septiembre, no se verá afectado por esta nueva norma.
Y esto afectará a bastantes. Hay algunas webs importantes que tienen certificados con validez de dos años, incluyendo GitHub y Microsoft, por ejemplo. Estos sitios tendrán, para no ser rechazados por el navegador de Apple, que obtener otro certificado después de agosto.
La duda que tengo es qué pasará con los que utiizamos Let’s Encrypt. Creo que en mi caso se actualiza cada año, pero no estoy del todo seguro.
Más información: https://pabloygl.es/38ZHv7b
________
Este es un ejemplo de los artículos que semanalmente escribo de forma exclusiva para los mecenas de la Comunidad.
Si quieres recibir contenido exclusivo como éste directamente en tu bandeja de correo, revisa las opciones de mecenazgo de esta página.
