26 de febrero de 2020

FACEBOOK. Debería pagar 3,5 dlrs al mes a usuarios EEUU para compartir información personal

Los usuarios alemanes de Facebook querrían que la red social les pagara alrededor de 8 dólares al mes por compartir su información de contacto, mientras que los de Estados Unidos solo buscarían 3,50 dólares, según un estudio sobre cómo las personas en varios países valoran su información privada.
El estudio del grupo de expertos Technology Policy Institute (TPI) es el primero que intenta cuantificar el valor de la privacidad y los datos en línea. Evaluó cuánto vale la privacidad en seis países al observar los hábitos de la gente en Estados Unidos, Alemania, México, Brasil, Colombia y Argentina.
Aborda la creciente preocupación sobre cómo las empresas, desde las plataformas tecnológicas hasta los minoristas, han estado recopilando y monetizando datos personales. Los reguladores estadounidenses han impuesto fuertes multas a Facebook Inc por violaciones de privacidad.
“Las diferencias en cómo las personas valoran la privacidad entre países sugiere que las personas en algunos lugares pueden preferir reglas más laxas, mientras que quienes viven en otros países pueden preferir reglas más fuertes”, dijo a Reuters Scott Wallsten, presidente y miembro de TPI.
“Es necesario cuantificar el valor de la privacidad para realizar cualquier análisis de las políticas de privacidad propuestas”, agregó.
El estudio encontró que los alemanes quieren que se les pague más por permitir que las plataformas tecnológicas compartan sus datos personales, seguidos por los estadounidenses.
También mostró que las personas en general valoran más la información financiera, como el saldo bancario y la biométrica, como los datos de huellas digitales, y consideran que los datos de ubicación son los menos valiosos.
De acuerdo a todas las personas consultadas en el estudio, una plataforma tendría que pagar en promedio 8,44 dólares al mes para compartir su información de saldo bancario, 7,56 dólares para compartir información de huellas digitales, 6,05 dólares para leer los mensajes de texto de un individuo y 5,80 dólares para compartir información sobre retiros de efectivo.
Por el contrario, las personas querían que se les pagara solo 1,82 dólares al mes para compartir datos de ubicación y nada para recibir anuncios a través de mensajes de texto.
El estudio encontró que los consumidores latinoamericanos tienen preferencia por ver anuncios en sus teléfonos inteligentes, en contraste con los estadounidenses y alemanes.
Fuente: Reuters

MICROSOFT. Unifica Word, Excel y PowerPoint en su nueva aplicación Office para Android

Los 'smartphones' Android disponen ya de una nueva aplicación de Microsoft que reúne en un mismo sitio las distintas aplicaciones de ofimática de la compañía, Word, Excel y PowerPoint.
Microsoft Office incluye las aplicaciones de Word, Excel y PowerPoint para que los usuarios puedan trabajar con documentos, hojas de cálculo y presentaciones en un mismo sitio sin tener que cambiar de aplicación.
La nueva 'app' incorpora tareas habituales en los móviles, como firmar los PDF usando el dedo o leer códigos QR para abrir documentos, pero también otras que aprovechan las capacidades de los 'smartphones', crea imágenes digitales mejoradas automáticamente de pizarras y documentos con las características de Office Lens.
Microsoft Office está disponible para su descarga gratuita en Google Play Store. https://play.google.com/store/apps/details?id=com.microsoft.office.officehubrow )
Fuente: Europa Press

CIBERATAQUES. Los ataques de 'stalkerware' a móviles se triplicaron en España durante 2019

Los ataques de 'stalkerware' y los 'adware' han sido las amenazas más peligrosas para los datos privados de los usuarios de teléfonos inteligentes durante el año 2019 y se han triplicado y han aumentado un 13 respectivamente en España, según un informe de Kaspersky.
El 'stalkerware' es un tipo de 'software' malicioso que permanece oculto en el teléfono de la víctima para extraer datos del dispositivo del usuario. Mientras, un 'adware' recoge datos privados de los usuarios para después mostrarles anuncios que les interesen.
Según el informe anual 'Mobile Malware Evolution' de la compañía de ciberseguridad Kaspersky, los 'adware' pueden hacer que los servidores de terceros tengan acceso a datos sensibles de la víctima sin su consentimiento ni conocimiento.
En 2019, el 21 por ciento de las amenazas analizadas por la compañía de ciberseguridad estaban relacionadas con el 'adware', según ha afirmado en un comunicado remitido a Europa Press.
El pasado año, Kaspersky detectó ataques de 'adware' a 23.371 usuarios únicos en España, lo que supone un 13 por ciento de incremento respecto a los datos de 2018, año en que se registraron 20.691 ataques.
Por su parte, en los ataques de 'stalkerware' las aplicaciones tienen acceso a datos personales como la ubicación del dispositivo, el historial del navegador, conversaciones en redes sociales e incluso fotos.
Kaspersky ha advertido de que existe la posibilidad de que "otros hackers obtengan acceso a los servidores de 'stalkerware' y recopilen toda esta información para sus propios fines".
Durante 2019, Kasperky detectó 1.243 ataques de 'stalkerware' en España, más de tres veces la cantidad de amenazas de este tipo en móviles que se registraron en 2018.
La compañía de ciberseguridad ha afirmado que los ataques a los datos personales de los usuarios de dispositivos móviles aumentaron de 40.386 en 2018 a 67.500 en 2019.
Además, en 2019 la cifra de ataques se duplicó en la segunda mitad del año en comparación con la primera. En este sentido, según datos de Kaspersky, en enero hubo 4.483 usuarios atacados, mientras en diciembre el número de personas afectadas llegó a 11.052.
Asimismo, la compañía ha dejado constancia de un incremento del 5 por ciento en los troyanos bancarios durante 2019, que afectaron a 3.713 usuarios únicos de móviles solo en España, según Kaspersky.
Fuente: Europa Press

MICROSOFT. Lanza solución Azure Sphere para IoT, con un sistema basado en Linux

Microsoft ha lanzado su solución de seguridad Azure Sphere para los dispositivos del ecosistema del Internet de las Cosas (IoT, en sus siglas en inglés), que incluye tanto 'hardware' certificado como 'software' basado en el sistema operativo de código abierto Linux.
Después de haber anunciado esta tecnología en abril de 2018, este lunes Microsoft ha hecho pública la disponibilidad general de Azure Sphere para el desarrollo y para el despliegue en dispositivos, como recoge en un comunicado.
Azure Sphere es "la respuesta de Microsoft a las amenazas crecientes del IoT", según explica la compañía estadounidense, y se destina tanto a las empresas como a los fabricantes para proteger sus equipos críticos.
Azure Sphere está basado en tres pilares: chips, sistema operativo y servicios en la nube. La solución proporciona en primer lugar 'hardware', chips desarrollados por otras empresas y certificados a nivel de seguridad por Microsoft, como explica en su web oficial.
A esto se añade un sistema operativo personalizado, conocido como Azure Sphere OS, que se adapta a los dispositivos del IoT y añade capas de protección y actualizaciones de seguridad Over-the-air (OTA) para crear "una plataforma confiable".
Como ya había confirmado Microsoft cuando anunció Azure Sphere hace dos años, este 'software' personalizado está basado en el kernel de Linux, optimizado para el ecosistema IoT y funciones de seguridad.
Por último, Sphere proporciona el servicio en la nube Azure Sphere Security Service, con el que los dispositivos se comunican con la nube de Microsoft para detectar amenazas. La solución añade también el soporte de expertos de seguridad de Microsoft.
Fuente: Europa Press

MALWARE. Mozart, la nueva familia de troyano que oculta el tráfico utilizando consultas DNS

El analista de malware Vitali Kremez, del equipo de @MalwareHunterTeam ha publicado sus hallazgos sobre una nueva familia de troyano que utiliza peticiones DNS para ocultar las comunicaciones con el servidor de control y comando.
La vía de propagación utilizada es mediante correos de «spear-phishing» en los que se adjunta un PDF malicioso que descarga y ejecuta el payload (https://masikini[.]com/CarlitoRegular%5B.%5Dzip).
El zip contiene un fichero JScript que es ejecutado utilizando el componente ActiveXObject WScript.Shell de la API de Windows.
Una vez ejecutado, el malware comprueba la existencia del archivo «mozart.txt» y si no existe lo crea con el contenido ‘1 2 3 4 5’. A continuación, se comunicará con el servidor de control utilizando peticiones DNS a un servidor configurado en el código de la muestra analizada: 93[.]188[.]155[.]2.
Estas consultas se realizan utilizando la función InetPtonW de la API de Windows. Se han obtenido hasta siete comandos diferentes que la máquina infectada utilizaba para comunicarse con el C&C y obtener nuevas órdenes o actualizaciones:
·        .getid
·        .gettasks
·        .gettasksize
·        .gettask
·        .reporttask
·        .reportupdates
·        .getupdates
Las respuestas se obtienen codificadas en Base64 y son interpretadas por el malware utilizando un componente específico encargado de descifrar la información.
Para protegerse ante esta amenaza es posible bloquear las peticiones DNS al servidor 93[.]188[.]155[.]2, sin embargo pueden aparecer nuevas variantes que utilicen otros servidores, por lo que es importante tener una solución de seguridad que permita monitorizar el tráfico DNS en sus sistemas.
Más información:
Let’s Learn: Diving Deeper into «Mozart» TLD Loader & DNS TLD Commandshttps://www.vkremez.com/2020/02/lets-learn-diving-deeper-into-mozart.html
Fuente:Hispasec

FIREFOX. Implantación predeterminada de DNS encriptado mediante HTTPS para usuarios EEUU..

Mozilla ha anunciado que desde este martes comienza a implantar DNS (Sistema de nombres de dominio) encriptado mediante HTTPS (Protocolo seguro de transferencia de hipertexto) de forma predeterminada a los usuarios de Estados Unidos (EEUU).
Los desarrolladores de Firefox llevan dos años trabajando para actualizar y hacer más seguro el DNS, un sistema que se diseñó hace décadas por lo que a pesar de que los navegadores realicen búsquedas DNS para sitios web encriptados, la búsqueda se hace sin encriptación.
El sistema de nombres de dominio identifica y direcciona los equipos conectados a Internet (dirección IP). Como señala la compañía, el problema reside en que "las búsquedas de DNS se envían a servidores que pueden espiar el historial de navegación de su sitio web sin informarle ni publicar una política sobre lo que hacen con esa información".
En la actualidad la privacidad y seguridad de los usuarios son muy susceptibles de ser explotadas por parte de los 'hackers'. Por esa razón Firefox ya había añadido medidas de seguridad en sus últimas versiones de navegador, como el administrador de contraseñas o el bloqueo de 'cookies de terceros'.
Ahora Firefox ha anunciado que está implementando DNS mediante HTTP (DoH) de forma predeterminada a los usuarios que residen en EEUU. Los usuarios del resto del mundo también podrán habilitar DoH si quieren, sin embargo lo tendrán que hacer de manera manual.
La compañía ha anunciado que seguirá extendiendo la habilitación de DoH en otras regiones del mundo a lo largo de 2020.
Fuente: Europa Press

VULNERABILIDADES. Ejecución remota de código en AJP de Apache Tomcat

El equipo de seguridad de Apache Tomcat detectó una vulnerabilidad, de severidad alta, en Apache JServ Protocol (AJP), que podría permitir a un atacante realizar una ejecución remota de código, catalogada de Importancia: 4 - Alta
Recursos afectados:
Apache Tomcat, versiones:
·        desde 7.0.0 hasta 7.0.99,
·        desde 8.5.0 hasta 8.5.50,
·        desde 9.0.0.M1 hasta 9.0.30.
Detalle de vulnerabilidades
Apache Tomcat trata las conexiones AJP como si tuvieran un mayor nivel de confianza que, por ejemplo, una conexión similar de HTTP. Si un atacante tuviera acceso a esas conexiones, podría realizar una ejecución remota de código que le otorgaría acceso a archivos arbitrarios de cualquier parte de la aplicación web. Se ha asignado el identificador CVE-2020-1938 para esta vulnerabilidad.
Recomendación
Actualizar a las siguientes versiones:
Más información
·        [SECURITY] CVE-2020-1938 AJP Request Injection and potential Remote Code Execution https://lists.apache.org/thread.html/r7c6f492fbd39af34a68681dbbba0468490ff1a97a1bd79c6a53610ef%40%3Cannounce.tomcat.apache.org%3E
·        High: AJP Request Injection and potential Remote Code Execution CVE-2020-1938 http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.100
·        High: AJP Request Injection and potential Remote Code Execution CVE-2020-1938 http://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.51
·        High: AJP Request Injection and potential Remote Code Execution CVE-2020-1938 http://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.31
Fuente: INICBE

CIBERSEGURIDAD. Brazalete ultrasónico impide que los dispositivos espíen a los usuarios

 Científicos de la Universidad de Chicago (Estados Unidos) han diseñado un brazalete ultrasónico que impide que los dispositivos electrónicos, a través de los micrófonos que integran, espíen a los usuarios.
Los altavoces inteligentes y dispositivos como 'smartphones' o relojes inteligentes integran micrófonos que, por defecto, recogen todo lo que dice el usuario, llegando incluso a guardar grabaciones de conversaciones personales.
En este sentido, los investigadores consideran que es "crítico" el desarrollo de herramientas que "protejan a los usuarios contra el potencial compromiso o mal uso de los micrófonos en la era de los dispositivos inteligentes basados en la voz", como recoge la propia universidad.
El brazalete que han diseñado emplea ultrasonidos imperceptibles para el oído humano, pero que los micrófonos sí detectan y capturan, lo que produce, como explican los investigadores, una señal que interfiere en la grabación de la voz.
El hecho de que sea un brazalete ayuda a salvar el problema de la direccionalidad de los micrófonos, es decir, aprovecha el movimiento natural del brazo y la mano de la persona para llegar incluso a los micrófonos ocultos.
Amazon, Apple y Google han tenido que explicar los procedimientos que siguen para mejorar la interacción de sus asistentes inteligentes, tras conocerse que emplean grabaciones reales de usuarios, en ocasiones incluso fragmentos de temas personales.
Tras la preocupación surgida el pasado año por la privacidad de los datos de los usuarios, las tres copañías revisaron sus procedimientos e introdujeron cambios encaminados a dotar de mayor control sobre sus datos al usuario.
Fuente: Europa Press

PHISHING. Facebook, Yahoo y Netflix son las marcas más imitadas en este tipo de ataque

Facebook ha sido la marca más imitada en el pasado año 2019 en los ataques de 'phishing' -en los que los cibercriminales se hacen pasar por una compañía para hacerse con los datos de los usuarios y sus cuentas- y ha acumulado el 18 por ciento de los ataques de este tipo a nivel global, que también afectan a empresas como Yahoo y Netflix.
Así lo ha revelado el informe 'Brand Phishing Report 2019' de la compañía de ciberseguridad Check Point, en el que se han analizado los intentos de ataques de 'phishing' en todo el mundo durante el cuarto trimestre del pasado año.
En el ranking global del 'phishing', por detrás de Facebook se encuentran por volumen de ataques Yahoo, segundo con el 10 por ciento; Netflix, tercero con el 5 por ciento; así como otras compañías tecnológicas como Microsoft (3 por ciento), Spotify (3 por ciento), Apple (2 por ciento) y Google (2 por ciento).
No obstante, durante el último trimestre del año se produjeron grandes diferencias entre las marcas utilizadas en cada vector de ataque, según explica Check Point en un comunicado.
Los ataques a través de la Web fueron los más frecuentes y comprendieron el 48 por ciento de todos los ataques de 'phishing' del cuarto trimestre de 2019. Los cibercriminales de esta categoría eligieron hacerse pasar por empresas como Spotify, Microsoft, PayPal y Facebook.
En segunda posición se encuentran los ataques de 'phishing por email, que supusieron el 27 por ciento del total y que suplantaron preferentemente a Yahoo, por delante de la marca de gafas de sol Ray-Ban, Microsoft y de DropBox.
Muy cerca se encuentran los atacantes que optan por campañas de 'phishing' a través del móvil, que en los últimos tres meses de 2019 congregaron el 25 por ciento de todos los ataques. La marca más imitada fue la de servicio bancarios Chase Mobile Banking, seguida de Facebook, Apple y PayPal.
"En los dos últimos años, los incidentes de este tipo de ataque se han disparado con el aumento del uso del correo electrónico basado en la nube, lo que facilita a los delincuentes camuflarse como un elemento de confianza", como señala Maya Horowitz, directora del Grupo de Inteligencia de Amenazas de Check Point Research, que considera que "el 'phishing' seguirá siendo una amenaza creciente en 2020".
Fuente: Europa Press

CIBERATAQUES. Ciberdelincuentes usan credenciales robadas en 60% ataques a empresas.

La división de seguridad de la compañía IBM, IBM X-Force, ha informado de que los ciberdelincuentes utilizaron credenciales robadas y vulnerabilidades de software conocidas para el 60 por ciento de los ataques a empresas en 2019.
De esta forma, según IBM X-Force, los ciberdelincuentes han tenido que hacer un menor uso del engaño para acceder a la información.
En el informe llamado 'Index 2020', la compañía afirma que el uso de credenciales previamente robadas supone el 29 por ciento de los casos. Con esta estrategia, los atacantes "ya no necesitan invertir tiempo en idear formas sofisticadas", sino que pueden entrar en una red "simplemente utilizando recursos conocidos, como por ejemplo iniciando sesión con credenciales robadas", según ha indicado la vicepresidenta de IBM X-Force Threat Intelligence, Wendi Whitmore.
Por ello, Whitmore advierte de que para mejorar la protección y privacidad de los datos de los usuarios es "esencial" utilizar medidas como el inicio de sesión único.
Según el estudio, los ciberdelincuentes explotaron las vulnerabilidades en el 30 por ciento de los incidentes analizados, en comparación con el 8 por ciento el año anterior.
IBM ha señalado que cerca del 85 por ciento de los más de 8.500 millones de archivos comprometidos en 2019, se debieron a sistemas y servidores cloud mal configurados.
31% DE EFECTIVIDAD DEL 'PHISHING' EN 2019
Sin embargo, los ataques de 'phishing' -en los que los cibercriminales se hacen pasar por una compañía para hacerse con los datos de los usuarios y sus cuentas- en 2019 tuvieron éxito únicamente un 31 por ciento de las ocasiones, mientras el año anterior supusieron cerca de la mitad.
Según IBM, los atacantes se hacen pasar por marcas de confianza de los consumidores y suplantan a empresas de tecnología, redes sociales y plataformas de 'streaming'.
Entre las diez principales marcas suplantadas se encuentran Google y YouTube, que han sido las que más se han visto afectadas, concretamente un 60 por ciento de los casos, seguidos por dominios de Apple (15 por ciento) y Amazon (12 por ciento). Facebook, Instagram y Netflix también se encuentran en la lista, aunque se han visto menos afectadas.
"Con un conjunto total de casi 10.000 millones de cuentas, las diez principales marcas suplantadas que aparecen en el informe ofrecen a los atacantes un amplio número de objetivos, lo que aumenta la probabilidad de que un usuario desprevenido pueda hacer clic en un enlace aparentemente inocente, pero fraudulento", recalca la compañía.
El informe también destaca que el comercio minorista es uno de los sectores más atacados por ciberdelincuentes, convirtiéndose en la segunda industria que más ataques ha sufrido en 2019, detrás de los servicios financieros.
Asimismo, América del Norte y Asia fueron las regiones que más ataques registraron en 2019 y se expusieron más de 5.000 y 2.000 millones de archivos respectivamente.
Fuente: Europa Press

INTEL. Vulnerabilidad en subsistemas CSME

El investigador, Chedva Gottesman, trabajando conjuntamente con Intel, ha descubierto una vulnerabilidad de criticidad alta en subsistemas CSME que podría permitir a un atacante local realizar una escalada de privilegios, una  condición de denegación de servicio o divulgar información, catalogada de Importancia: 4 - Alta
Recursos afectados:
Intel CSME versiones anteriores a:
·        12.0.49
·        12.0.56 (solo para  IOT)
·        13.0.21
·        14.0.11
Detalle de la actualización:
Una autenticación incorrecta podría permitir a un atacante local realizar una escalada de privilegios, una  condición de denegación de servicio o divulgar información. Se ha reservado el identificador CVE-2019-14598 para esta vulnerabilidad.
Recomendación
Actualizar CSME a las versiones:
·        2.0.49
·        13.0.21
·        14.0.11
·        posteriores.
Para CSME IOT, actualizar a la versión 12.0.56 o posterior.
Más información
Fuente: INCIBE

IBM. Vulnerabilidad de inyección SQL en múltiples productos de la firma.

Los productos IBM Emptoris Spend Analysis e IBM Emptoris Strategic Supply Management Platform contienen una vulnerabilidad, de severidad alta, de tipo inyección SQL.
Recursos afectados:
1)   IBM Emptoris Spend Analysis, versiones:
a)   10.1.0.x;
b)   10.1.1.x;
c)    10.1.3.x.
2)   IBM Emptoris Strategic Supply Management Platform, versiones:
a)   10.1.0.x;
b)   10.1.1.x;
c)    10.1.3.x.
Detalle de la actualización
Un atacante remoto podría enviar peticiones SQL, especialmente elaboradas, que podrían permitirle ver, añadir, modificar o eliminar información en la base de datos del backend. Se ha reservado el identificador CVE-2019-4752 para esta vulnerabilidad.
Recomendación
IBM Emptoris Spend Analysis, actualizar a las versiones:
IBM Emptoris Strategic Supply Management Platform, actualizar a las versiones:
Más información
·        Security Bulletin: SQL Injection Affects IBM Emptoris Spend Analysis (CVE-2019-4752) https://www.ibm.com/support/pages/node/2948919
·        Security Bulletin: SQL Injection Affects IBM Emptoris Strategic Supply Management Platform (CVE-2019-4752) https://www.ibm.com/support/pages/node/2950269
Fuente: INCIBE

IBM. Múltiples vulnerabilidades en Db2

Se han publicado varias vulnerabilidades en productos Db2 de IBM que podrían permitir a un atacante denegar el servicio o ejecutar código arbitrario con privilegios de root, catalogas de Importancia: 4  Alta
Recursos afectados:
Todos los fix pack de IBM Db2, en todas las plataformas, versiones V9.7, V10.1, V10.5, V11.1 y V11.5.
Detalle de vulnerabilidades
El envío de paquetes, especialmente diseñados, podría permitir a un atacante, no autenticado, denegar el servicio a través de un uso excesivo de memoria. Se ha asignado el identificador CVE-2020-4135 para esta vulnerabilidad.
Una vulnerabilidad de desbordamiento de búfer, causada por una comprobación de los límites inadecuada, podría permitir a un atacante local ejecutar código arbitrario en el sistema, con privilegios de root. Se ha asignado el identificador CVE-2020-4204 para esta vulnerabilidad.
Recomendación
Aplicar la actualización correspondiente para cada versión. Para más detalles, consultar la sección siguiente.
Más información
·        Security Bulletin: IBM® Db2® is vulnerable to denial of service (CVE-2020-4135). https://www.ibm.com/support/pages/node/2876307
·        Security Bulletin: Multiple buffer overflow vulnerabilities exist in IBM® Db2® leading to privilege escalation (CVE-2020-4204). https://www.ibm.com/support/pages/node/2875875
Fuente: Hispasec

SAP. Actualización de seguridad de febrero de 2020

SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual, catalogadas de Importancia: 5 - Crítica
Recursos afectados:
1)   SAP Business Client, versión 6.5;
2)   SAP Host Agent, version 7.21;
3)   SAP Landscape Management, versión 3.0;
a)   ABAP Server (utilizado en NetWeaver y Suite/ERP), versiones;
b)   utilizando Kernel 7.21 o 7.22, que usa ABAP Server desde 7.00 hasta 7.31;
c)    utilizando Kernel 7.45, 7.49 o 7.53, que usa ABAP Server desde 7.40 hasta 7.52;
d)   ABAP Platform.
4)   SAP ERP, versiones SAP_APPL 600, 602, 603, 604, 605, 606, 616, SAP_FIN 617, 618, 700, 720 y 730;
5)   SAP S/4 HANA, versiones:
a)   S4CORE 100, 101, 102, 103, 104;
b)   SAP_BASIS 7.50, 7.51, 7.52, 7.53, 7.54.
6)   SAP NetWeaver, versiones:
a)   7.30, 7.31, 7.40 y 7.50 (Knowledge Management ICE Service);
b)   SAP_BASIS 7.40;
c)    SAP_BASIS 702, 730, 731 y 740;
d)   7.30, 7.31, 7.40 y 7.50 (Heap Dump Application);
e)   7.10, 7.11, 7.20, 7.30, 7.31, 7.40 y 7.50 (Guided Procedures).
7)   SAP Business Objects Business Intelligence Platform (CMC), versión 4.2;
8)   SAP Mobile Platform, versión 3.0.
Detalle de la actualización
SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 13 notas de seguridad y 2 actualizaciones, siendo una de las actualizaciones de severidad crítica, 3 notas de severidad alta, y la otra actualización, junto con el resto de notas, de severidad media.
El tipo de vulnerabilidades publicadas se corresponde a los siguientes:
  • 3 vulnerabilidades de DoS (Denial of Service);
  • 2 vulnerabilidades de falta de comprobación de datos de entrada;
  • 2 vulnerabilidades de XSS (Cross-Site Scripting);
  • 1 vulnerabilidad de falta de comprobación de autenticación;
  • 1 vulnerabilidad de división de respuesta HTTP;
  • 6 vulnerabilidades de otro tipo.
Para estas vulnerabilidades se han reservado los siguientes identificadores: CVE-2020-6186, CVE-2020-6191, CVE-2020-6192, CVE-2020-6188, CVE-2020-6193, CVE-2020-6184, CVE-2020-6185, CVE-2020-6181, CVE-2020-6190, CVE-2020-6183, CVE-2020-6189, CVE-2020-6187 y CVE-2020-6177. El identificador CVE-2019-0271 se ha asignado.
Recomendación
Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante. https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html
Más información
·        SAP Security Patch Day – February 2020 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=537788812
·        SAP Security Notes February 2020: Calm Times Are Over—19 New SAP Security Notes and Root Access at Risk https://www.onapsis.com/blog/sap-security-notes-feb-2020
Fuente: INCIBE