ASI
Posted on
Año: 2014
Shellshock vulnera a Servidores OpenVPN
Un ataque explotando Shellshock podría comprometer seriamente servidores OpenVPN. Shellshock se suma a Heartbleed en la lista de fallos que comprometen a OpenVPN. Shellshock, la vulnerabilidad así llamada descubierta recientemente en el shell Bash, afectaría a servidores VPN basados en OpenVPN al utilizar algunas opciones de configuración. OpenVPN es una solución de software de código abierto para redes virtuales o VPN seguras. Sin embargo, se ha reportado que algunos scripts de configuración son específicamente vulnerables al fallo Shellshock en el shell Bash incorporado en sistemas Linux, UNIX y Mac OS X. Fredrik Strömberg, cofundador del servicio de VPN Mullvad, dijo que algunas Leer más…
Apple parcha OS X para resolver ShellShock
ShellShock es la vulnerabilidad en el shell bash de sistemas *nix, como OS X. Apple ha publicado las actualizaciones de seguridad para OS X Mavericks, OS X Mountain Lion y OS X Lion y así corregir la vulnerabilidad ShellShock en el shell bash de Unix. La vulnerabilidad recién descubierta está siendo objeto de ataques activos dirigidos aunque Apple ha descartado exploits para OS X. Es posible obtener el parche denominado OS X Bash Update 1.0 en el sitio de soporte de Apple: OS X Mavericks OS X Mountain Lion OS X Lion Una vez instalado el parche es recomendable que el usuario Leer más…
Fallo crítico en shell bash afecta a equipos Unix y derivados
Podría permitir la ejecución remota de comandos en Linux, Unix, y Mac OS X. Bash (GNU Bourne Again Shell) es una shell de línea de comandos en sistemas operativos Linux/UNIX y Apple Mac OS X. Se ha reportado una vulnerabilidad crítica que podría permitir la ejecución remota de comandos de shell adjuntando código malicioso en variables de entorno que utiliza el sistema operativo. El CERT de los EEUU ha emitido una alerta al respecto. Al parecer hay actualmente ataques de explotación dirigidos a servidores web. La vulnerabilidad bautizada como “Shellshock” y catalogada como CVE-2014-6271 fue descubierta por el especialista en Unix/Linux Stephane Chazelas. El fallo Leer más…
Martes de Parches Septiembre 2014
Un parche es crítico y aplica para Internet Explorer. Son 4 los parches de seguridad que ha publicado Microsoft hoy. Un parche es de severidad Crítica y tres son de severidad Importante. Las actualizaciones corrigen 42 vulnerabilidades en sistemas Windows, Internet Explorer, .NET Framework, y Lync Server. Es recomendable aplicar la actualización crítica lo más pronto que sea posible, previa evaluación del impacto antes de aplicarlas. La actualización crítica es la MS14-052 y aplica para Internet Explorer, versiones 6 a 11 en sistemas cliente de Windows. Es un parche acumulativo que corrige 37 vulnerabilidades, la más severa de ellas podría permitir la ejecución remota de código. Leer más…
Desnudo de famosos, fallo de iCloud o del usuario
No sólo las fotos sino otra información puede estar comprometida por el acceso a la cuenta iCloud de los famosos. La noticia del robo masivo de fotos de famosos y su publicación -con fines de extorsión- en sitios web de imágenes llama la atención sobre el comportamiento de los usuarios respecto de situaciones que tienen que ver con su privacidad y seguridad. Además del error de Apple al no poner límites a los intentos fallidos de inicio de sesión, es necesario que el usuario tome conciencia de la importancia de mantener hábitos de seguridad sobre su información en línea, como Leer más…
Firefox 32 rechazará conexiones a sitios con certificados falsos
La nueva funcionalidad en Firefox 32 es compatible con dominios Mozilla y Twitter. Para prevenir ataques que utilizan certificados de seguridad falsos, Mozilla ha implementado en Firefox 32.0, publicado en esta semana, la funcionalidad Public Key Pinning o Fijación de Llave Pública que permite a los sitios web especificar qué autoridades de certificados (CA) han expedido certificados válidos para ese sitio, y entonces rechazar las conexiones TLS al sitio si el certificado no es emitido por una CA “bien conocida”. La nueva funcionalidad impedirá ataques de Hombre-En-El-Medio (MITM) que utilicen certificados emitidos por una CA que no se encuentre en la lista Leer más…
CryptoWall ransomware más grande y destructivo en Internet
Ha ganado un millón de dólares en extorsiones a los usuarios. Los investigadores de seguridad de Dell SecureWorks dijeron que entre Marzo y Agosto cerca de 625 mil sistemas fueron infectados por CryptoWall, cifrando más de 5.25 billones de archivos. La mayoría de las infecciones ocurrieron en equipos de usuarios estadunidenses (40.6%). Cryptowall cifra los archivos en computadoras con Windows y dispositivos de almacenamiento conectados. Utiliza encripción RSA de 2048 bits. El usuario infectado tiene que pagar una cantidad de dinero para obtener la llave privada que descifra los archivos. Los investigadores estimaron que de las 625 mil infecciones, 1,683 Leer más…
Evitar defectos de seguridad en el diseño de software seguro
Recomendaciones y técnicas de expertos sobre cómo evitar los defectos de seguridad en el diseño de software seguro. El Centro del IEEE para el Diseño Seguro (CSD) ha publicado un reporte con 10 recomendaciones para evitar los defectos de seguridad en el diseño de software. El diseño de software seguro tiene como objetivo permitir que el sistema soporte y cumpla con los requerimientos necesarios de autenticación, autorización, confidencialidad, integridad de datos, rendición de cuentas, disponibilidad, y no repudio, inclusive cuando el sistema está bajo ataque. El CSD juntó a especialistas en el tema para discutir los tipos de defectos de seguridad en el diseño de software. Los especialistas analizaron fallas Leer más…