Chrome corrige fallo crítico de seguridad objeto de ataques de explotación

Google ha publicado una actualización del navegador Chrome que corrige una vulnerabilidad crítica de día cero actualmente sujeta a ataques de explotación en Internet. Los detalles de la vulnerabilidad han sido restringidos por Google y serán comunicados hasta que la mayoría de los usuarios hayan sido actualizados con una solución. La restricción también aplica en el caso de que el fallo exista en una biblioteca de terceros no solucionada. La vulnerabilidad ha sido catalogada como CVE-2019-5786 y tiene que ver con la corrupción de memoria en sistemas Windows, MacOS y Linux. Denominada como Use-after-free en FileReader, el fallo día cero Leer más…

Fallo de seguridad en visor PDF de Chrome permite el robo de datos

Se ha reportado un fallo de seguridad en el navegador Google Chrome que permite la fuga de información vía archivos PDF. La vulnerabilidad puede ser explotada al usar el visor de archivos PDF de Chrome. No se detectó actividad maliciosa al abrir el archivo PDF con Adobe Reader. Los investigadores de seguridad de EdgeSpot publicaron el descubrimiento, señalando que desde finales de diciembre de 2018 han detectado múltiples muestras de PDF que explotan el fallo de seguridad de Google Chrome. La vulnerabilidad explotada permite al atacante rastrear a los usuarios y recopilar información de algunos usuarios cuando utilizan Google Chrome Leer más…

Contraseñas del gestor de contraseñas podrían ser robadas de la memoria del computador, incluída la contraseña maestra

Independent Security Evaluators (ISE), con sede en Baltimore, Maryland, Estados Unidos, ha publicado el estudio “Password Managers: Under the Hood of Secrets Management”, sobre la seguridad de los gestores de contraseñas. El software gestor de contraseñas permite el almacenamiento y la recuperación de información confidencial desde una base de datos cifrada. Los usuarios confían en este software debido a que proporciona mejor seguridad frente a la exfiltración trivial que resulta en medios alternos de almacenamiento de contraseñas, como por ejemplo un archivo de texto plano. El estudio de ISE fue enfocado principalmente en el funcionamiento de los cinco gestores de contraseñas populares Leer más…

Martes de Parches Febrero 2019

Microsoft corrigió 20 vulnerabilidades críticas de seguridad. El martes de parches de este mes, Microsoft publicó actualizaciones de seguridad para 76 vulnerabilidades en sus productos: Adobe Flash Player Internet Explorer Microsoft Edge Microsoft Windows Microsoft Office and Microsoft Office Services and Web Apps ChakraCore .NET Framework Microsoft Exchange Server Microsoft Visual Studio Azure IoT SDK Microsoft Dynamics Team Foundation Server Visual Studio Code De las vulnerabilidades corregidas, 20 son de severidad Crítica y se encuentran principalmente en Flash, Internet Explorer, Edge y Windows. Son fallos que pueden ocasionar la ejecución remota de código. Por el momento no hay indicios de existencia de código Leer más…

AVAST es galardonado como Producto del Año 2018

Avast y AVG han recibido altas calificaciones de AV-Comparatives en su más reciente evaluación de soluciones antivirus. Avast Free Antivirus fue galardonado como el Producto del Año 2018, al obtener el puntaje general más alto en todas las pruebas. Recibió el premio Advanced+ en todas las pruebas de este año. Otros premios logrados por Avast fueron el Premio de Oro por la Prueba de Protección de Malware; Premio de Plata por la Eliminación de Malware; y, el Premio de Bronce por la Prueba de Rendimiento. Los revisores de AV-Comparatives elogiaron la interfaz clara, moderna, fácil de tocar de Avast, así como Leer más…

Vulnerabilidades críticas en sistemas cliente RDP permitirían la ejecución remota de código

Tres programas utilizados como sistema cliente del Protocolo de Escritorio Remoto (RDP) han sido identificados con vulnerabilidades críticas que podrían permitir intrusiones en la red de TI. RDP sirve a los profesionales de TI para conectarse a computadoras remotas, con lo cual tiene acceso y control de la computadora remota, de acuerdo con los permisos de su usuario. Check Point Research ha descubierto vulnerabilidades críticas en FreeRDP, rdesktop (Kali Linux) y mstsc.exe (Microsoft), que permitirían la ejecución remota de código, y con ello un atacante podría infectar la computadora utilizada para penetrar en la red de TI. Los investigadores de Check Leer más…

CERT EEUU alerta sobre campaña global de secuestro de DNS

El CERT de los EEUU ha alertado sobre una campaña global de secuestro de infraestructura del Sistema de Nombres de Dominio (DNS). Según un reporte de FireEye los secuestros de DNS han afectado a docenas de dominios de entidades gubernamentales, de infraestructura de telecomunicaciones e internet en el Medio Oriente y África del Norte, Europa y América del Norte. La investigación inicial sugiere que el actor o los actores responsables tienen un nexo con Irán. La campaña se ha dirigido a víctimas de todo el mundo en una escala casi sin precedentes, con un alto grado de éxito. Utilizando las Leer más…

PCI publica nuevos estándares de seguridad para el desarrollo de software

El Consejo de Normas de Seguridad PCI (PCI SSC) ha publicado nuevos estándares para el diseño y desarrollo seguro de software de pago moderno, que formarán parte del nuevo Marco de Seguridad de Software de PCI. El Estándar de Software Seguro de PCI describe los requisitos de seguridad y los procedimientos de evaluación para ayudar a garantizar que el software de pago proteja adecuadamente la integridad y confidencialidad de las transacciones y datos de pago. El Estándar del Ciclo de Vida Seguro de PCI (SLC seguro) describe los requisitos de seguridad y los procedimientos de evaluación para que los proveedores de Leer más…