Microsoft ha publicado una actualización de seguridad que corrige vulnerabilidades críticas. Estas afectan a:
- Microsoft Windows;
- Internet Explorer;
- Microsoft Office, Microsoft Office Services y Web Apps;
- ASP.NET Core;
- .NET Core;
- .NET Framework;
- OneDrive para Android;
- Microsoft Dynamics;
La publicación de actualizaciones de seguridad de Microsoft correspondiente al mes de enero consta de 50 vulnerabilidades, 8 clasificadas como críticas y 42 como importantes.
Las vulnerabilidades publicadas se corresponden con los siguientes tipos:
- Divulgación de información,
- Escalada de privilegios,
- Denegación de servicio,
- Ejecución remota de código,
- Omisión de característica de seguridad,
- Suplantación de identidad.
Recomendamos realizar la actualización de Windows para estar protegido frente a posibles amenazas.
Desde Prestashop han dado aviso de una vulnerabilidad encontrada que, a través del malware llamado XsamXadoo Bot el atacante podría tener acceso y tomar el control de tiendas online. Este hecho fue descubierto en los primeros días de 2020 y se debe a una vulnerabilidad de PHPUnit que ha sido reportada como CVE-2017-9841.
Para evitar esta vulnerabilidad basta con eliminar la librería PHPUnit, en el caso que se tenga ya que no todas las versiones de Prestashop se han visto afectadas, de la carpeta Vendor que cuelga del raiz de la tienda online. Como decimos, esta librería no está presente en todas las versiones de Prestashop pero sería recomendable revisarlo por si acaso.
Otro sitio posible donde se puede encontrar dicha librería es en los módulos. Algunos módulos hacen uso de la misma por lo que pueden también incorporarla. Para ello, se deberán revisar todos los módulos, dentro de la carpeta Vendor de cada módulo, si existe alguna referencia a la misma y eliminarla. Algunos de los módulos afectados son:
- 1-Click Upgrade (autoupgrade): Versiones 4.0 beta y posteriores
- Cart Abandonment Pro (pscartabandonmentpro): versiones 2.0.1~2.0.2
- Faceted Search (ps_facetedsearch): versiones 2.2.1~3.0.0
- Merchant Expertise (gamification): versiones 2.1.0 y posteriores
- PrestaShop Checkout (ps_checkout): versiones 1.0.8~1.0.9
Recomendamos que revises tu tienda para poder solucionar la vulnerabilidad y evitar problemas.
Os dejamos el artículo oficial de Prestashop donde explican con más detalle todo este tema.
Microsoft está preparando el cambio a TLS 1.2 en Office 365 en pos de una mejora de seguridad en el servicio. Así, a partir del próximo 1 de Junio de 2020, Microsoft solo permitirá la conexión a los servicios de Office 365 a través de TLS 1.2, dejando de lado TLS 1.0 y TLS 1.1.
A pesar de que la mayoría de las conexiones realizadas a Office 365 se realizan mediante TLS 1.2, aún quedan algunos usuarios que siguen usando TLS 1.0 y TLS 1.1 para las conexiones a Office 365. En caso de ser uno de ellos deberás actualizar la aplicación a una versión superior que si proporcione TLS 1.2. Algunas aplicaciones y sistemas que no proporcionan acceso TLS 1.2 son:
- Android 4.3 y versiones anteriores
- Firefox versión 5.0 y versiones anteriores
- Internet Explorer 8-10 en Windows 7 y versiones anteriores
- Internet Explorer 10 en Win teléfono 8.0
- Safari 6.0.4/OS X10.8.4 y versiones anteriores
- Microsoft Office 2010 o superior (recomendamos la ultima versión para sacar el máximo partido a Office 365)
Además, os dejamos este enlace de Microsoft donde indica cómo activar el protocolo TLS 1.2 en distintos sistemas Windows.
Aún queda tiempo pero desde Controlsys recomendamos la actualización de los sistemas y aplicaciones para hacer uso del protocolo TLS en su versión 1.2 por seguridad, ya que ofrece mejoras con respecto a las versiones anteriores del mismo.
Como ya anunciamos en este artículo Skype Empresarial iba a ser sustituido por Microsoft Teams, al convertirse en la herramienta principal de comunicaciones de Office 365. La fecha de fin de vida de Skype Online será para el próximo 31 de Julio de 2021, según ha anunciado Microsoft.
El soporte para las aplicaciones móviles de Office para Android, finalizó el pasado 30 de Junio. A partir de esta fecha, los usuarios que utilicen office en dispositivos con la versión KitKat, lollipop o versiones anteriores de Android dejarán de recibir actualizaciones de la aplicación. Recomendamos que los usuarios actualicen a una versión más reciente de Android.
