ASI
Posted on
Mes: octubre 2014
Fix It temporal para Internet Explorer que mitiga ataques POODLE
Fix It desactiva SSL 3.0 para evitar ataque POODLE en IE. Microsoft ha puesto disponible una herramienta Fix It para detener ataques POODLE a Internet Explorer. Microsoft había alertado sobre la vulnerabilidad en SSL 3.0, el protocolo de cifrado de tráfico en Internet y que se encuentra implementado en todas las versiones compatibles de Microsoft Windows, resultando afectados por la vulnerabilidad. Aunque dijo que no había indicios de ataques usando la vulnerabilidad, para Microsoft la vulnerabilidad no es de alto riesgo. Recomendó utilizar TLS 1.0, TLS 1.1 ó TLS 1.2. El atacante puede explotar SSL 3.0 usando un ataque Hombre-En-El-Medio (MITM) Leer más…
Ataques a Flash Player, actualiza ya
Ataques vía Fiesta, un kit comercial de explotación de vulnerabilidades. Te recomendamos actualizar Flash Player cuanto antes con la actualización publicada en este mes por Adobe. Se han reportado ataques recientes explotando la vulnerabilidad ya corregida y que se intenta explotar utilizando un kit comercial de explotación de vulnerabilidades llamado Fiesta. El uso de la vulnerabilidad en el ataque por Fiesta fue descubierto por Kafeine, un investigador de malware independiente. CVE-2014-0569 “7day” is in Angler EK. Traffic redirected to Angler is massive. Update Flash ! http://t.co/ze627JYDWk pic.twitter.com/VEMCCYizfr — kafeine (@kafeine) October 21, 2014 El martes de parches de este mes Adobe Leer más…
Avast 2015
AVAST Software ha publicado Avast 2015, entre cuyas nuevas funcionalidades se encuentran la seguridad de las redes domésticas y del DNS, escaneo HTTPS, reducción de mensajes popup, una experiencia de usuario más simplificada y divertida, y actualizaciones de software más rápidas para mejorar el desempeño y una mayor seguridad y privacidad. El nuevo Avast Home Network Security es la única herramienta de seguridad de red doméstica diseñada para hacer frente a la amenaza real de redes domésticas secuestradas. Avast 2015 escanea la red y ruteadores domésticos del usuario en busca de posibles problemas de seguridad que podrían permitir un ataque Leer más…
Windows es atacado para explotar vulnerabilidad día-cero
Fallo en Windows es objeto de ataque de explotación en PowerPoint. Microsoft ha emitido una alerta de seguridad por una vulnerabilidad en todos los sistemas Windows, excepto Windows Server 2003. La vulnerabilidad está siendo objeto de ataques malintencionados, aunque limitados, vía malware dirigidos a Microsoft PowerPoint. El atacante que explote exitosamente la vulnerabilidad puede obtener los mismos privilegios de usuario que los del usuario que inició la sesión en el sistema vulnerado. Un usuario con privilegios mínimos sería menos impactado que un usuario que opere el sistema con provilegios administrativos. El ataque requiere la interacción del usuario para tener éxito en Leer más…
Ataque POODLE a vulnerabilidad en SSL
Poodle es utilizado en ataques Hombre-En-El-Medio para obtener los datos cifrados en texto claro. El ataque POODLE (Padding Oracle On Downgraded Legacy Encryption) se aprovecha de la vulnerabilidad encontrada en el cifrado por bloques (CBC) en la versión 3.0 de SSL (Secure Socket Layer). SSL es el protocolo de encripción utilizado por muchos sistemas y aplicaciones. El ataque exitoso permitiría al atacante descifrar y extraer información desde una transacción cifrada. Los navegadores web y servidores web son los escenarios más probables de explotación de la vulnerabilidad. SSL 3.0 es un estándar antiguo de cifrado, tiene 18 años, y ha sido reemplazado por TLS Leer más…
Parches de seguridad de Java – Octubre 2014
25 vulnerabilidades de seguridad corregidas en Java Oracle ha publicado las actualizaciones críticas de seguridad (CPU) para 25 vulnerabilidades de Java SE, 22 de las cuales pueden ser explotables de forma remota sin autenticación. Es decir, la vulnerabilidad puede ser explotada sobre una red sin la necesidad de utilizar una cuenta de usuario y contraseña. Es recomendable actualizar Java tan pronto como sea posible. Antes de aplicar la actualización de seguridad es conveniente realizar alguna prueba del impacto en aplicaciones dependientes de Java. Oracle publica el CPU cada tres meses, específicamente el martes más cercano al día 17 de los meses de enero, Leer más…
Martes de Parches Octubre 2014
Parches en productos Microsoft y Adobe. Este martes de parches Microsoft y Adobe han publicado actualizaciones de seguridad para corregir diversas vulnerabilidades en sus productos. Microsoft ha publicado 8 actualizaciones de seguridad que corrigen 24 vulnerabilidades en Windows, Internet Explorer, .NET Framework, Developer Tools, Office, Office Services, y Office Web Apps. Tres actualizaciones son de severidad Crítica debido a que las vulnerabilidades más graves que corrigen podrían ser explotadas permitiendo la ejecución remota de código sin interacción con el usuario, típico al acceder a páginas web o correo electrónico con malware que se ejecuta sin que el usuario se de cuenta. El resto de Leer más…
Mozilla corrige fallo en Bugzilla
El fallo en Bugzilla podría permitir el acceso a información sensible de proyectos de software de código abierto. Bugzilla es una herramienta de la Fundación Mozilla para el seguimiento de vulneralidades de software y es usada por organizaciones privadas y de código abierto. Entre otros Bugzilla es utilizada por la Fundación Mozilla, Apache, OpenSSH, Eclipse, KDE, Fundación Wikimedia, Wireshark, Novell, y GNOME, así como para el kernel de Linux. La vulnerabilidad descubierta en Bugzilla podría ser aprovechada por atacantes para exponer información y vulnerabilidades sensibles de los proyectos de software. El fallo fue divulgado por investigadores de Check Point Software Leer más…