Novedades de la semana: actualizaciones y phishing

El pasado 8 de agosto, se ha publicado WordPress 6.3, apodada “Lionel”, en honor a Lionel Hampton, el icónico artista de jazz estadounidense. Al igual que la habilidad de Hampton para sincronizarse con leyendas del jazz, este nuevo lanzamiento busca armonizar y optimizar la experiencia del usuario en la web.

Con “Lionel”, la creación de sitios web llamativos y persuasivos se vuelve más eficiente que nunca. Ya seas un principiante que desea construir un sitio sin necesidad de programar, o un desarrollador con el anhelo de personalizar hasta el último detalle, WordPress 6.3 tiene algo que captará tu atención.

Este lanzamiento marca un capítulo significativo en la evolución de WordPress. Es el fruto de años de trabajo de cientos de colaboradores, presentando una experiencia de edición más potente y cohesiva para la creación de sitios web con bloques. El objetivo es hacer que la publicación en la web sea accesible para todos.

En esta versión, la edición de sitios se vuelve más integrada y poderosa. Puedes añadir páginas, explorar variaciones de estilo, crear patrones sincronizados y tener un control detallado sobre los menús de navegación, todo en un solo lugar. Además, con herramientas como la Paleta de Comandos, trabajar se vuelve más rápido y ágil.

El diseño también recibe una atención especial, con nuevas herramientas que ofrecen una gran versatilidad para el ajuste fino. Desde personalizar subtítulos sin necesidad de programar, hasta gestionar filtros.

En cuanto a rendimiento, WordPress 6.3 integra más de 170 actualizaciones de rendimiento y sigue teniendo un enfoque central en la accesibilidad, incorporando más de 50 mejoras en esta área.

En resumen, WordPress 6.3 “Lionel” no es simplemente una actualización, es una renovación y una reafirmación del compromiso de WordPress para ofrecer la mejor herramienta de construcción de sitios web en el mercado.

En el panorama en constante evolución del comercio electrónico, mantenerse actualizado no solo es una cuestión de nuevas funcionalidades, sino también de garantizar un rendimiento óptimo y reforzar la seguridad. PrestaShop ha lanzado su primera actualización para la versión 8.1: PrestaShop 8.1.1.

Si bien las actualizaciones son habituales en el mundo del software, es la esencia de este parche en particular lo que lo destaca. PrestaShop 8.1.1 no solo aborda varios errores señalados por su comunidad y equipo de Aseguramiento de Calidad, sino que también incorpora correcciones de seguridad esenciales.

Entre las correcciones de errores más notables en esta versión se incluyen:

• Resolver un problema en el editor de productos que no guardaba ciertos campos en un contexto de múltiples tiendas.
• Actualización de la configuración de Smarty para registrar modificadores obsoletos frecuentemente utilizados, evitando molestas advertencias en el back office.
• Correcciones relacionadas con traducciones de temas secundarios y temas de múltiples tiendas.
• Una solución para un problema recurrente donde los archivos PDF, al ser generados desde el back office, siempre aparecían en inglés.

Si bien estas correcciones buscan mejorar la experiencia del usuario y garantizar el funcionamiento fluido de las tiendas en línea, las advertencias de seguridad exigen atención inmediata.

Vulnerabilidades como la inyección SQL Boolean en la búsqueda de productos, la potencial Ejecución Remota de Código (RCE) a través del administrador SQL y otras amenazas de eliminación de archivos, podrían representar graves amenazas para los negocios en línea.

Abordar estas preocupaciones de seguridad debería ser una prioridad para los usuarios de PrestaShop, por lo que la actualización debe ser rápida. Para una transición sin problemas, el módulo de Actualización con 1-Clic está a su disposición.

El gigante de la tecnología, Microsoft, ha lanzado correcciones para un total de 74 fallos en su software en el marco de las actualizaciones del “Patch Tuesday” para agosto de 2023. Esta cifra es notablemente inferior a las 132 vulnerabilidades que se corrigieron el mes anterior.

De estas vulnerabilidades, seis son críticas, 67 importantes y una de severidad moderada. Junto con las mejoras de seguridad, se han lanzado dos actualizaciones de profundidad de defensa para Microsoft Office (ADV230003) y la herramienta Memory Integrity System Readiness Scan (ADV230004).

Una de las vulnerabilidades ya conocidas, identificada como CVE-2023-36884, es una vulnerabilidad de ejecución de código remoto en Office y Windows HTML. Microsoft ha afirmado que la instalación de la última actualización “detiene la cadena de ataque” relacionada con este bug.

Adicionalmente, Microsoft ha corregido múltiples vulnerabilidades de ejecución de código remoto en Microsoft Message Queuing (MSMQ) y Microsoft Teams. También se han solucionado vulnerabilidades de suplantación (spoofing) en diversos servicios de Azure y .NET Framework.

También se han resuelto seis vulnerabilidades de denegación de servicio (DoS) en MSMQ, además de dos fallos de divulgación de información en el mismo servicio.

De especial interés son tres vulnerabilidades en Exchange Server identificadas como CVE-2023-35388, CVE-2023-38182 y CVE-2023-38185. Las dos primeras han sido etiquetadas como “Explotación Más Probable”. Para explotar estas vulnerabilidades, un atacante necesita conectarse a la red interna y autenticarse como un usuario válido de Exchange.

Finalmente, la actualización también incluye correcciones para cinco fallos de escalada de privilegios en el Kernel de Windows que podrían ser aprovechados por un actor de amenaza con acceso local a la máquina objetivo.

El phishing, la técnica más popular entre los ciberdelincuentes, ha sufrido un duro golpe. Una operación global coordinada por la INTERPOL ha culminado en el desmantelamiento de “16shop”, una reconocida plataforma de phishing como servicio. Esta operación dio como resultado la detención de tres individuos: un joven operador indonesio y dos colaboradores, uno en Japón y otro en Indonesia.

La plataforma “16shop” proporcionaba a los hackers herramientas para lanzar ataques de suplantación de identidad, principalmente dirigidos a cuentas de grandes empresas como Apple, PayPal y Amazon. A través de sus operaciones, se crearon alrededor de 150,000 páginas de phishing, afectando a más de 70,000 usuarios repartidos en 43 países, incluyendo Alemania, Japón y Estados Unidos.

Los datos robados a las víctimas abarcan desde correos electrónicos y contraseñas hasta números de tarjetas de crédito. Con esta información, los ciberdelincuentes ejecutaban extracciones monetarias de las cuentas de las víctimas.

Este desmantelamiento fue posible gracias a la colaboración entre varias agencias y empresas del sector privado, incluyendo el Instituto de Defensa Cibernética y Trend Micro, entre otros.