vulnerabilidad – Página 3

Nueva amenaza se aprovecha de Java para infectar equipos Windows

7 marzo, 201812 marzo, 2013 por igestweb

Tal y como ha publicado el INTECO (Instituto Nacional de Tecnología de la Comunicación) en un reciente boletín, se habría detectado la presencia de un virus de gran peligrosidad, bajo el nombre de Mdmbot.A. Este virus permitiría a un atacante aprovechar la puerta trasera que genera, dejando nuestro equipo expuesto a recibir órdenes externas así como al robo de datos que podrían ser enviados a servidores remotos.

El virus se aprovecharía de una vulnerabilidad de las versiones 1.7 Update 15 y 1.6 Update 41 de Java que permiten un ataque 0-day y afectaría a plataformas Windows tanto de 32 como de 64 bits. Este virus aun no se autopropaga, y se cree que su difusión estaría realizandose a través de redes P2P o a través de webs maliciosas, pero hay que estar muy atentos porque pronto podrían aparecer versiones que si permitan la difusión del virus.

Rápida actualización de Java para corregir el grave fallo detectado hace unos días

18 enero, 2013 por igestweb

La verdad es que Oracle no nos tiene acostumbrados a una respuesta tan rápida ante un fallo de seguridad. No han sido pocas las veces que pasaban algunas semanas entre la publicación de un fallo y el correspondiente parche que solucionase el fallo. No obstante en esta ocasión Oracle se ha dado mucha prisa y ha publicado la versión 7U11 con la cual solucionar el fallo de seguridad.

A partir de este momento, el plugin quedará configurado con la seguridad por defecto a «alta», lo cual llevará a que se pregunte al usuario si quiere ejecutar un applet que no esté firmado. Es decir, que los applets tendrán que estar firmados por una entidad de confianza para que puedan ser ejecutados sin autorización del usuario, y luego el usuario puede permitir aquellos que no estén firmados bajo su propia responsabilidad.

La verdad es que detrás de todos estos cambios parece que hay causas «mayores» y es que parece que Java habría optado por esta opción tras decidir que los múltiples incidentes sufridos por la plataforma son un problema de gran consideración y porque la plataforma podría tener serios problemas de seguridad que supondría un gran esfuerzo solucionar. Pero lo que está claro es que Oracle quiere evitar que se genere en torno a Java una imagen de inseguridad como llego a la plataforma Flash tiempo atrás y que finalmente la condenó a su desaparición (no olvidemos que el principal motivo para eliminarla por parte de Apple fue la inseguridad que planteaba Flash, y después el resto del mercado siguió sus mismos pasos).

Eso si, no dudéis en actualizar cuanto antes a esta nueva versión de Java para evitar posibles ataques a vuestros equipos (y recordar que este fallo afectaba, no solo a Windows, sino también a Mac y Linux).

Vulnerabilidad Java y fin al rumor del iPhone barato

12 enero, 2013 por igestweb

No es habitual que nos dejemos caer por estos fueros un fin de semana, pero la ocasión lo merece. Lo primero es comentar, que finalmente el rumor del iPhone low cost ha quedado desmentido, y !!de manera oficial!! Es raro que Apple haga caso a los rumores sobre la compañía (de hecho, esa ha sido una insignia durante muchos años a nivel de comunicación, dejar que los rumores hagan crecer el interés por la compañía comentando lo menos posible), pero tras la marcha de Steve Jobs, muchas cosas han cambiado en Apple, y así ha sido como Phil Schiller, director de marketing de Apple, en una entrevista declaraba que si bien algunas empresas están empezando a usar smartphones más económicos para sustituir a los de gama alta «esa no es la dirección en la que queremos que vayan nuestros productos». La verdad es que hay muchos seguidores de la compañía de la manzana que en cierto modo se alegran porque así no se perjudicará la calidad de los productos de Apple.

El otro motivo por el que hoy escribimos es el anuncio de una nueva vulnerabilidad en Java, que ha llevado a los expertos en seguridad a recomendar la desactivación de la plataforma Java en nuestros equipos para evitar posibles exposiciones a ataques inesperados. Esta vulnerabilidad afectaría a las versiones 1.7 o superiores y de momento no hay parche por parte de Oracle, así pues se ha recomendado la desactivación en los navegadores, tratando así de minimizar el impacto hasta que se encuentre una posible solución al problema.

Fallo en IE permite detectar los movimientos del ratón

23 diciembre, 2012 por igestweb

Una de las medidas de seguridad que se implementaban hasta el momento en páginas como las de los bancos, los teclados virtuales, podría verse comprometida al menos en el caso de los usuarios que empleen el navegador de Microsoft. Y es que, la firma Spider.io detecto una vulnerabilidad que afectaría a las versiones de Internet Explorer desde la 6 a la 10 y que permitiría a un hacker rastrear los movimientos del ratón en toda la pantalla.

Una vez el hacker logra saltarse la seguridad, la información de la posición del ratón podrá ser recuperada indistintamente, aunque la página infectada empleada para explotar esta vulnerabilidad esté en segundo plano o se haya minimizado. Esto lo convierte en algo muy peligroso, puesto que hoy en día, se emplean ataques a través de por ejemplo los anuncios integrados en otras páginas, lo cual hace que prácticamente cualquier página que incluya publicidad pueda ser susceptible de propiciar un ataque de este tipo.

También es bastante destacable, que si bien, el aviso fue comunicado a Microsoft el 1 de Octubre, y que la compañía reconoció el fallo, desde la compañía de Redmon se indico que no había «planes inmediatos» para poner una solución a este fallo. Pues bien, ahora en diciembre una vez si hizo público el anuncio, Microsoft cambió de parecer y aclaró que estaba trabajando junto con otras compañías para solucionar este fallo, aunque también dijeron lo siguiente “Por lo que sabemos hasta el momento, el problema principal tiene más que ver con la competencia entre compañías de estadísticas [rama en la que ingresa la denunciante Spider.io] que con la seguridad o privacidad de los consumidores”.

La verdad es que convendría que Microsoft se dejase de entrar a debatir sobre el tema y que ponga una solución, porque si bien pueda tener más que ver con otros temas, el problema existe y siempre puede haber quien intente aprovecharse de la situación, y los perjudicados serían los internautas.

¿Se precipita Mozilla con sus lanzamientos de Firefox?

14 diciembre, 2012 por igestweb

Hace menos de un mes (concretamente el día 22 de Noviembre) que se lanzaba Firefox 17, y solo unos días después, se veía obligada a lanzar una actualización (la 17.0.1) para corregir un problema en el renderizado de páginas web y otro que impedía que el navegador reiniciara todos los componentes sociales cuando el usuario abandonaba la navegación privada. Esto se une al polémico lanzamiento de la versión 16 de Firefox que pocas horas después de su llegada fue retirado por culpa de un importante fallo de seguridad.

Sin duda esto no hace sino contribuir al cada vez más asentado malestar por parte de la comunidad de usuarios que responsabiliza de estos fallos a la política de lanzamientos en que se ha sumido Mozilla en un intento de competir con Google Chrome. Así es que cada vez más, parece que Mozilla estuviese más interesada en las decisiones de marketing que en la estabilidad de su producto. Sin duda, esto no contribuye a la imagen del navegador, que parece seguir sin un rumbo fijo, desde que sus números empezasen a verse muy dañados por la llegada de Google Chrome.

Si queréis probar esta nueva versión o si todavía estáis sin actualizaros a esta última versión , no dejéis de pasar por la web de la Fundación Mozilla y descargar esta última versión.

Fallo en Twitter a través del servicio de SMS

10 diciembre, 2012 por igestweb

Durante el verano, Jonathan Rudenberg, experto en seguridad detecto un fallo de seguridad en el servicio de SMS de la popular red social de microblogging y ha sido dado a conocer recientemente. Este problema afectaría únicamente a los usuarios que tienen activado el citado servicio, pudiendo llegar a hacer que un intruso suplantase la identidad de las cuentas afectadas. Pero no solo permite la publicación de contenido con la identidad de la cuenta afectada, sino que el atacante podría modificar la configuración de la cuenta, con lo que la vulnerabilidad es más comprometida aún.

En Twitter aún no han solucionado el problema, por lo que la mejor medida actualmente es desactivar en la configuración la opción para recibir actualizaciones y publicar mediante SMS (en algunos países también se puede activar un código de comprobación para la publicación de contenidos).

Estudio desvela más de mil apps en Android con vulnerabilidades

26 octubre, 2012 por igestweb

Investigadores de las universidades Alemanas de Hannover y Marburg han realizado un detallado estudio sobre unas 13.500 aplicaciones, elegidas entre las más populares dentro de Google Play. Y el estudio sería bastante preocupante, puesto que habrían encontrado más de 1000 de estas apps que tendrían vulnerabilidades SSL. Y es que en el estudio se vio, como durante la conexión y transmisión de datos, las aplicaciones aceptarían todos los certificados sin realizar las comprobaciones adecuadas, lo cual las haría vulnerables a ataques Man In The Midlle.

Esto podría permitir a un atacante, intervenir la comunicación con las aplicaciones pudiendo de esta forma acceder a información privada de la aplicación. También podrían inyectar información modificada a un antivirus que esté instalado en el Smartphone o tableta y así poder modificar su funcionamiento. Teniendo en cuenta el volumen de descargas de estas aplicaciones, tendríamos la escalofriante cifra de hasta unos 185 millones de usuarios afectados por estas vulnerabilidades.

La cuestión sería ver si es un fallo a nivel del sistema operativo o en el desarrollo de dichas aplicaciones al implementar las conexiones seguras mediante SSL. No obstante, y sin lugar a dudas, este estudio pondría en una situación complicada a la plataforma Android, así pues es de esperar que pronto haya algún comunicado o referencia por parte de Google.

Fallo crítico en Internet Explorer solucionado

24 septiembre, 2012 por igestweb

La semana pasada Microsoft informo de un fallo de seguridad que afectaba a todas las versiones de Internet Explorer hasta la 9 (la versión 10 de IE se veía al margen de este fallo). Esta vulnerabilidad 0-day, permitía la ejecución de código de forma remota cuando el navegador obtiene acceso a un objeto eliminado o que no se ha asignado correctamente, esto permitiría a un atacante ejecutar código en la máquina afectada. Así pues se recomendaba tener cuidado a la hora de visitar sitios de poca confianza. Quizás para evitar mayores problemas, Microsoft ha decidido no esperar al ciclo habitual de actualizaciones y ya ha lanzado una solución para corregir este fallo, así pues es el momento de recomendar a todo el mundo que actualice cuanto antes el navegador para evitar males mayores.

Los problemas con Java siguen

12 septiembre, 2012 por igestweb

Si bien Oracle habría lanzado sendas actualizaciones para sus versiones 6 y 7 de Java para corregir los recientes problemas, parece que estas actualizaciones traerían consigo otra vulnerabilidad con lo que los expertos de seguridad siguen recomendando mantener Java desactivado. Por su parte Apple habría incluido recientemente una actualización de Java, que si bien también soluciona uno de los fallos, otros siguen sin haberse parcheado. Por tanto, habrá que seguir teniendo mucho cuidado con los sitios que visitamos y quizás la utilización de alguna extensión o complemento del navegador para evitar la ejecución de Scripts podría ayudarnos a mejorar la seguridad de nuestros equipos hasta que llegue la solución definitiva.

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.