ASI
Posteado en
Etiqueta: Vulnerabilidad
Actualización de OpenSSL
El proyecto OpenSSL ha publicado un Aviso de Seguridad alertando sobre varias vulnerabilidades en la popular herramienta de cifrado para las comunicaciones en Internet. OpenSSL es una herramienta de cifrado que implementa los protocolos SSL y TLS en las comunicaciones por Internet. La más severa de las vulnerabilidades es la conocida como Logjam (CVE-2015-4000) y que podria permitir a un atacante de Hombre-En-El-Medio degradar las conexiones TLS vulnerables usando un intercambio de llave Diffie-Hellman para criptografia de nivel de exportación de 512-bit. Los sistemas cliente de OpenSSL han sido protegidos agregando funcionalidad para el rechazo de parámetros DH menores a 768 bits y que será aumentado a Leer más…
AVG inicia Programa de Recompensas de Seguridad
El fabricante de software de seguridad AVG ha iniciado un programa de recompensas por el vulnerabilidades de seguridad en sus productos AVG AntiVirus FREE 2015 y AVG Internet Security 2015. AVG ha elegido a la comunidad de expertos de seguridad de Bugcrowd para el manejo del programa de recompensas con el propósito de dar más confianza a los más de 200 millones de usuarios de los productos AVG. Para AVG al identificar y corregir las vulnerabilidades antes de que los atacantes las descubran ayuda a hacer software y sitios web más seguros. El programa establece como foco la búsqueda de sólo errores relacionados con la seguridad Leer más…
Vulnerabilidades sin parche en Google App Engine for Java
La firma Security Explorations reveló vulnerabilidades encontradas en Google App Engine for Java. La publicación incluyó detalles técnicos y códigos de pruebas de concepto (PoC) para problemas de seguridad encontrados por la firma con sede en Polonia. Es política de Security Explorations revelar inmediatamente los fallos de seguridad descubiertos cuando el fabricante del software afectado no los confirma o niega, o inclusive cuando los repara de forma silenciosa. Por el reporte de las vulnerabilidades Google recompensó a Security Explorations con 70 mil USD, de los cuales solamente ha pagado 50 mil USD. Security Explorations estima que al hacer públicos los fallos de seguridad Google ya no pagará Leer más…
Disponible EMET 5.2
EMET 5.2 incluye mejoras de seguridad. EMET (Enhanced Mitigation Experience Toolkit) es una serie de herramientas gratuitas de Microsoft que ayudan a detectar y bloquear la explotación de vulnerabilidades de corrupción de memoria. La herramienta es muy útil para prevenir ataques día-cero de estas vulnerabilidades. EMET incluye 14 tecnologías de mitigación de seguridad, como DEP (Data Execution Prevention), ASLR (Mandatory Address Space Layout Randomization), SEHOP (Structured Exception Handler Overwrite Protection), EAF (Export Address Table Access Filtering), Anti-ROP, y SSL/TLS Certificate Trust Pinning. Se ha publicado la versión 5.2 de la herramienta, que incluye más protecciones de seguridad para mejorar el nivel de seguridad: Leer más…
Google cambia política de divulgación de vulnerabilidades de software
Amplía 14 días el plazo si el fabricante avisa que está por publicar el parche de seguridad a la divulgación de vulnerabilidades del software. Proyecto Zero es el equipo de expertos de seguridad en Google dedicados a encontrar fallos de seguridad en el software. Las vulnerabilidades de seguridad son reportadas al fabricante del software afectado, quien dispone de un plazo de 90 días para publicar el parche de seguridad o la vulnerabilidad será hecha pública. Recientemente Microsoft ha expresado molestias con los expertos de Proyecto Zero debido a la divulgación de vulnerabilidades en Windows cuando estaba cerca de la publicación del parche Leer más…
Vulnerabilidad XSS en Internet Explorer
La vulnerabilidad XSS elude políticas de seguridad de contenido. El hacker David Leo ha reportado la existencia de una vulnerabilidad XSS (Cross Site Scripting) en el navegador Internet Explorer que elude políticas de seguridad de contenido. Un atacante podria robar cualquier información de otro dominio, e inyectar cualquier información en otro dominio. El fallo existe en Internet Explorer 11 para Windows 7. Leo también ha divulgado el código funcional de una prueba de concepto sobre la vulnerabilidad en http://www.deusen.co.uk/items/insider3show.3362009741042107, en donde Leo explica el código de explotación de la vulnerabilidad. Al visitar la URL varios scripts son ejecutados. Para demostrar el ataque Leo Leer más…
Otra Vulnerabilidad Día-Cero en Adobe Flash Player [Actualizado]
El fallo día-cero está siendo atacado en Internet Explorer y Firefox. Los investigadores de seguridad de Trendmicro han descubierto un nuevo ataque a la versión más reciente de Adobe Flash Player debido a un fallo día-cero que está siendo utilizado por el kit de explotación Angler a través de anuncios publicitarios en línea infectados y que se les denomina malvertisement. El exploit aprovecha una vulnerabilidad crítica (CVE-2015-0313) encontrada en Adobe Flash Player 16.0.0.296 y versiones anteriores para Windows y Macintosh. Según los expertos de Trendmicro los visitantes del sitio popular dailymotion.com son redirigidos a una serie de sitios, que eventualmente dirigen a retilio.com/skillt.swf, en donde fue Leer más…
Adobe corrige fallo día-cero en Flash Player atacado por Angler
El fallo día-cero está siendo explotado en ataques web. Adobe ha publicado la actualización para Adobe Flash Player instalado en sistemas Windows, Macintosh y Linux que corrige un fallo crítico (CVE-2015-0311) en la versión 16.0.0.287 y anteriores del popular software de animación web. La explotación exitosa de este fallo día-cero podría hacer que Flash Player deje de funcionar y permitir a un atacante tomar el control del sistema afectado. Al menos desde la semana pasada la vulnerabilidad día-cero ha sido objeto de ataques de explotación en Internet mediante la herramienta de códigos de explotación de vulnerabilidades conocido como Angler. Los ataques son del tipo drive-by-download y han Leer más…