Noticias

Vulnerabilidad crítica en sistemas Unix, Linux y Mac (CVE-2014-6271) [ShellShock]

Un investigador de seguridad ha descubierto una vulnerabilidad crítica en el intérprete de comandos Bash (Born Again Shell), que afecta a todas las versiones comprendidas entre 1.14 y 4.3 de Bash, instalada en la mayoría de sistemas operativos Unix, Linux y MAC. La vulnerabilidad conocida como “Shell Shock” o “ShellShock” (CVE-2014-6271) permite a un atacante conectar de forma remota un ejecutable malicioso a una variable que se ejecuta cuando se invoca el intérprete Bash y afecta tanto en páginas web, servidores, equipos domésticos, routers y además parece afectar a otros intérpretes como zsh, tcsh, csh y ksh. “Toda versión de Bash es vulnerable, es extremadamente grave, pero se necesitan unas condiciones muy específicas en lugar donde un usuario remoto podría […]

, , , , , , , , , , ,

Encontrados mecanismos de vigilancia ocultos en iOS

El científico forense Jonathan Zdziarski (aka “NerveGas”) ha publicado las diapositivas de su charla “Identifying Backdoors, Attack Points, and Surveillance Mechanisms in iOS Devices” presentada en la conferencia Hackers On Planet Earth (HOPE). En esta charla se muestra la evidencia de mecanismos de vigilancia ocultos, a través de aplicaciones no documentadas por la compañía, que afectan a 600 millones de dispositivos Apple. Zdziarski ha trabajado como miembro del dev-team de muchos iOS jailbreaking recientes y es autor de cinco libros de O’Reilly, relacionados al hacking y seguridad de aplicaciones iOS. En diciembre de 2013, el investigador de seguridad Jacob Appelbaum descubrió un programa de la NSA denominado DROPOUTJEEP que presuntamente daba control total al iPhone. El documento filtrado, con fecha […]

, , , , , , , , , , , , , , , , , , ,

Bug crítico encontrado en Linux desde hace 5 años (CVE-2014-0196)

Se ha dado a conocer un importante fallo de seguridad en el núcleo Linux que afecta a todas las versiones desde la 2.6.31 (versión del 2009) hasta la actual 3.14.3. Se trata de un bug crítico que es capaz de corromper la memoria asignada al núcleo y hasta puede permitir que un usuario no-root pueda obtener privilegios de autorización. Red Hat afirma que RHEL 6 no es vulnerable y las distribuciones Fedora y Ubuntu, que tenían acceso por adelantado al CVE-2014-0196 desde hace dos semanas, ya han publicado las actualizaciones de seguridad correspondientes con parches propios. Debian ha lanzado ya una actualización, pero solo para la rama estable. Sin embargo, el proyecto Linux tan solo ha agregado el parche a […]

, , , , , , , , , , , , , , ,

Vulnerabilidad crítica descubierta en el software DNS BIND

Dos estudiantes han descubierto una vulnerabilidad de seguridad grave en el software DNS BIND en el algoritmo TCP Smoothed Round Trip Time (SRTT). El algoritmo SRTT es utilizado por BIND para determinar qué servidor autorizado debe ser consultado para un dominio que tiene múltiples servidores enumerados en su registro NS RRset. Los israelíes Roee Hay y Jonathan Kalechstein, conducidos por el Dr. Gabi Nakibly de la Facultad de Ciencias de la computación en el Instituto de Tecnología Technion, no proporcionaron ninguna explicación ni detalle acerca de la vulnerabilidad, pero indicaron que al explotar la falla en el protocolo DNS, un atacante podría redirigir a los usuarios que están tratando de visitar un sitio web legítimo a un sitio web falso […]

, , , , , , , , , , ,

Descubierto grave fallo de seguridad en Telegram

Telegram Unsafe

La aplicación de mensajería Telegram llegó al mercado este año para hacerle frente a WhatsApp. Su sello de diferencia frente a otras aplicaciones de mensajes es su fuerte sentido de la seguridad. Ahora, investigadores del Inteco (Instituto Nacional de Tecnología de la Comunicación) han descubierto un grave fallo de seguridad en Telegram que afecta a sus servidores. Inteco ha realizado una análisis minucioso del diseño que utiliza Telegram para autenticar a los usuarios y ha dado con un bug que permite a los atacantes a interceptar información enviada por los usuarios sin que estos sean conscientes del ataque. Telegram es un cliente de mensajería instantánea muy similar a WhatsApp pero semi-open-source, el decir, la parte del cliente es código abierto, […]

, , , , , , , , , , ,

Descubierto Exploit 0-Day para Microsoft Internet Explorer (CVE-2014-1776)

Recientemente Microsoft ha reconocido la existencia de un nuevo exploit que afecta a varias versiones de Internet Explorer (desde la 6 a la 11) que está siendo utilizado y podría afectar aproximadamente al 26% del mercado global. Esta vulnerabilidad (Advisory 2963983), reportada por FireEye, permite a un atacante ejecutar código con los mismos permisos que el usuario que inicio sesión en Windows y eludir ASLR y las protecciones DEP del sistema operativo mediante la explotación de la forma en que Internet Explorer tiene acceso a un objeto que ha sido eliminado de memoria y que no ha sido asignado correctamente (vulnerabilidad “use-after-free”). Microsoft está trabajando en un parche de seguridad para esta vulnerabilidad. Sin embargo, todavía se puede migrar la […]

, , , , , , , , , ,

Heartbleed (CVE-2014-0160) – Vulnerabilidad crítica de OpenSSL compromete múltiples servicios

El recientemente fallo de seguridad (llamado HeartBleed), ha sido descubierto por Neel Mehta de la división de seguridad de Google, quien inmediatamente avisó a la organización OpenSSL, con el CVE reservado, CVE-2014-0160, que fue creado el 3 de Diciembre de 2013. El grave bug permite a cualquier persona burlar los sistemas con versiones de OpenSSL 1.0.1 y 1.0.2-beta, incluidas las versiones 1.0.1f y 1.0.2-beta1. De esa manera se puede leer la memoria de los sistemas protegidos por esas versiones vulnerables. Esto pone en compromiso las claves secretas que se utilizan para identificar a los proveedores de servicios y para cifrar el tráfico, los nombres y contraseñas de usuarios, como así también otros datos como números de tarjetas de crédito… Este […]

, , , , , , , , , , , , , ,

Fallo de seguridad descubierto en WinRar 4.20 (0-Day)

Recientemente se ha descubierto una vulnerabilidad de día 0 (0-Day) en el famoso compresor de Windows, WinRar, que permite ejecutar código malicioso (en comprimidos de tipo ZIP) camuflándose como si fuese otro tipo de archivo. Este fallo de momento sólo afecta a la versión 4.20 de WinRar. La explotación de este fallo de seguridad es muy fácil de realizar. WinRar guarda en un archivo ZIP dos nombres de archivo, el primero es el nombre que se usará al descomprimirlo y el segundo es el nombre que aparece en la interfaz gráfica de WinRar. Para explotar este fallo de seguridad tan solo debemos editar el archivo ZIP con un editor hexadecimal y cambiar el segundo nombre por algo como ‘imagen.jpg’ cuando […]

, , , , , , ,

Sistema de verificación de Snapchat vulnerado un día después de su lanzamiento

Solamente un día después de que la popular aplicación Snapchat presentara un nuevo sistema para evitar cuentas fraudulentas, un investigador de seguridad aseguró haber encontrado una vulnerabilidad para este servicio. De acuerdo al desarrollador Steve Hickson, este sistema, que exige a los nuevos usuarios encontrar al clásico “fantasma” de la compañía para probar que no son servicios automáticos, sería sumamente fácil de saltar. “Demoré alrededor de 30 minutos en escribir el código. Y con muy poco esfuerzo, pude encontrar al ‘fantasma’ con un 100% de certeza”, reveló Hickson. El investigador utilizó sus conocimientos sobre los sistemas de reconocimiento de imágenes en computadores y definió ciertas etiquetas de colores para los segmentos característicos de la imagen de la mascota de Snapchat. […]

,

Philips hue: ¡Descubierta una vulnerabilidad en el sistema!

Philips hue es un sistema de iluminación inteligente que nos permite controlar las luces de nuestra casa desde un dispositivo móvil y nos acerca también al paradigma del Internet de las Cosas. Un sistema bastante singular que podría presentar vulnerabilidades bastante graves. En octubre el año pasado, Philips presentó un proyecto bastante curioso llamado Philips hue que nos abría las puertas al Internet de las cosas y, por tanto, a dispositivos cotidianos que tienen capacidad para conectarse a nuestra red y a Internet. Concretamente, Philips hue nos presenta unas “bombillas inteligentes” que podemos controlar desde nuestro smartphone y adaptar su intensidad o color de iluminación a nuestro estado de ánimo o a las fotos que estemos viendo desde nuestra tablet. Según ha revelado un experto […]

, , , ,

Entradas anteriores Entradas recientes