ASI
Posteado en
Etiqueta: Seguridad
WordPress corrige 6 problemas de seguridad
WordPress ha publicado la actualización 4.7.3 corrigiendo 6 problemas de seguridad que se han encontrado en la versión 4.7.2 y anteriores del sistema gestor de contenidos: Cross-site scripting (XSS) a través de metadatos de archivos multimedia. Los caracteres de control pueden engañar el redireccionamiento de validación de URL. Los archivos no deseados pueden ser borrados por los administradores utilizando la funcionalidad de eliminación de complementos. Cross-site scripting (XSS) a través de la URL de video insertada de YouTube. Cross-site scripting (XSS) a través de nombres de términos de taxonomía. Cross-site request forgery (CSRF) en Press. Esta falsificación de solicitudes entre Leer más…
Fallo día-cero de seguridad en Internet Explorer y Edge
Los investigadores de seguridad de Project Zero, de Google, han confirmado la existencia de una vulnerabilidad día-cero de seguridad en los navegadores Microsoft Internet Explorer y Microsoft Edge, incluyendo la prueba de concepto del fallo de seguridad. La revelación del fallo fue hecha debido a que Microsoft no la ha corregido, pasados los 90 días de que fuera notificado de la vulnerabilidad ahora convertida de día-cero por no haber parche oficial. La vulnerabilidad fue reportada el 25-Nov-2016. Se encuentra en el manejo de tipos (type) y de ser aprovechada mediante código HTML especialmente diseñado para explotar la vulnerabilidad podría permitir a Leer más…
Otro fallo día-cero de seguridad en Windows, ahora en GDI
Ya van dos fallos día-cero de seguridad que se conocen en el popular sistema operativo. Los investigadores de seguridad de Project Zero, de Google, han confirmado la existencia de una vulnerabilidad día-cero de seguridad en los sistemas Windows, incluyendo la prueba de concepto del fallo de seguridad. La revelación del fallo fue hecha debido a que Microsoft no la ha corregido, pasados los 90 días de que fuera notificado de la vulnerabilidad ahora convertida de día-cero por no haber parche oficial. Apenas empezando febrero un investigador divulgó una vulnerabilidad día-cero en Windows 10, Windows 8.1, Windows Server 2016, y Windows Server 2012 R2. La Leer más…
Martes de Parches Febrero 2017. Microsoft pospone los suyos.
Este martes de parches, como nos tiene acostumbrados Microsoft cada segundo martes de cada mes, no hubo parches. Microsoft ha pospuesto la publicación de los parches aunque no dijo para cuándo. Sólo mencionó que los parches de seguridad no fueron publicados debido al descubrimiento de un problema de última hora que podría afectar a algunos clientes y que no se resolvió a tiempo para las actualizaciones planeadas para ayer. Después de considerar todas las opciones, Microsoft decidió retrasar las actualizaciones de este mes. Actualización de seguridad de Adobe. Adobe ha publicado 3 actualizaciones críticas de seguridad para corregir vulnerabilidades en Adobe Flash Player para Windows, Macintosh, Leer más…
Romper contraseñas es más rápido con ataque de diccionario que de fuerza bruta
Para Oleg Afonin, experto en seguridad de Elcomsoft, romper las contraseñas es más rápido y fácil utilizando ataques de diccionario en lugar de fuerza bruta. Un diccionario con las contraseñas filtradas más populares, como la lista de las 10 mil contraseñas más utilizadas, permite resolver hasta un 30% de los casos en cosa de minutos. Los algoritmos de aceleración GPU actuales, el cloud computing y los ataques distribuidos ayudan con mucho para romper contraseñas. Pero en cuanto a velocidad muchas veces es mejor el diccionario. Según Afonin el hardware más reciente puede ofrecer velocidades apenas aceptables al atacar con fuerza bruta Leer más…
Vulnerabilidad de negación de servicio en Windows
El CERT de los EEUU ha reportado la existencia de una vulnerabilidad en Microsoft Windows que puede permitir a un atacante remoto no autenticado hacer que el sistema deje de funcionar. También se ha reportado la existencia y disponibilidad pública del código de explotación de la vulnerabilidad, convertida ahora en un problema de día-cero. El fallo de seguridad se encuentra en el manejo del tráfico SMB y de ser explotada con éxito permitiría al atacante no sólo ocasionar la caída del sistema sino también ejecutar código en los sistemas vulnerables. Se ha confirmado el problema en sistemas completamente actualizados de Windows Leer más…
Ransomware VirLocker que cambia en cada infección
VirLocker es un ransomware que lleva años haciendo de las suyas en los computadores. Fue el primer ransomware polimórfico y se propaga de un equipo a otro sin que el usuario se de cuenta cuando envíe el archivo infectado (por ejemplo un currículum) a otra persona. Estará enviando el ransomware que infectará los archivos del equipo destino. Según el experto de seguridad de Malwarebytes Nathan Scott cada archivo que VirLocker infecta se convierte en VirLocker en sí mismo. El archivo infectado prácticamente es diferente del VirLocker que lo infectó. Esta habilidad polimórfica es posible porque VirLocker agrega código falso para ser Leer más…
Facebook implementa llave de seguridad física para inicio de sesión
Facebook ha anunciado la facilidad de utilizar una llave física de seguridad para el acceso seguro del usuario a su cuenta en la red social. Se trata de un dispositivo de hardware que se conecta por el puerto USB a la computadora. El usuario registra en su cuenta la llave de seguridad física y listo. Sólo tiene que tocar el dispositivo para iniciar sesión en la red social. Con la medida el usuario dispone de más opciones para el acceso seguro a su cuenta. Podrá seguir utilizando el código de seguridad que la red social envía al dispositivo móvil del usuario a Leer más…