bug

Cualquier sistema Android podría ser hackeado (Stagefright)

Joshua Drake, vicepresidente de investigación de la empresa Zimperium Mobile Security, ha revelado una vulnerabilidad muy peligrosa denominada Stagefright que afectaría al 95% de dispositivos móviles con Android (unos 950 millones de dispositivos) y con ello sería la mayor vulnerabilidad descubierta hasta la fecha en la plataforma de Google. Un hacker puede aprovechar esta vulnerabilidad al insertar código malicioso en un video y enviarlo por medio de un mensaje de texto. Cuando el teléfono recibe el mensaje, la vulnerabilidad del sistema operativo se ejecuta. El fallo de seguridad reside en un componente del Kernel de Android llamado “Stagefright”, una biblioteca que permite procesar, grabar y reproducir archivos multimedia y archivos PDF. La vulnerabilidad afecta a las versiones Android desde la […]

, , , , , , , ,

Fallo de seguridad crítico en Microsoft Secure Channel – Schannel (CVE-2014-6321)

Microsoft Windows Bug

Microsoft ha informado recientemente sobre una vulnerabilidad en Microsoft Secure Channel (Schannel), que afecta prácticamente a todas la versiones de Windows (Windows Vista, 7, 8, 8.1 y RT, además de Windows Server 2003, 2008 y 2012). Este fallo fue descubierto por IBM y posteriormente reportado a Microsoft. Este bug a estado activo durante 19 años. Tal como informa The Verge, hacia comienzos de año investigadores del departamento de seguridad informática de IBM encontraron una falla que afecta a todas las versiones de Windows desde 1995 en adelante, y posteriormente la reportaron a Microsoft. Ahora, los de Redmond han lanzado un parche que llega para remediar el longevo bug identificado como MS14-066 – Microsoft Schannel Remote Code Execution Vulnerability – CVE-2014-6321 […]

, , , , , , , , , , ,

Bug crítico encontrado en Linux desde hace 5 años (CVE-2014-0196)

Se ha dado a conocer un importante fallo de seguridad en el núcleo Linux que afecta a todas las versiones desde la 2.6.31 (versión del 2009) hasta la actual 3.14.3. Se trata de un bug crítico que es capaz de corromper la memoria asignada al núcleo y hasta puede permitir que un usuario no-root pueda obtener privilegios de autorización. Red Hat afirma que RHEL 6 no es vulnerable y las distribuciones Fedora y Ubuntu, que tenían acceso por adelantado al CVE-2014-0196 desde hace dos semanas, ya han publicado las actualizaciones de seguridad correspondientes con parches propios. Debian ha lanzado ya una actualización, pero solo para la rama estable. Sin embargo, el proyecto Linux tan solo ha agregado el parche a […]

, , , , , , , , , , , , , , ,

Heartbleed (CVE-2014-0160) – Vulnerabilidad crítica de OpenSSL compromete múltiples servicios

El recientemente fallo de seguridad (llamado HeartBleed), ha sido descubierto por Neel Mehta de la división de seguridad de Google, quien inmediatamente avisó a la organización OpenSSL, con el CVE reservado, CVE-2014-0160, que fue creado el 3 de Diciembre de 2013. El grave bug permite a cualquier persona burlar los sistemas con versiones de OpenSSL 1.0.1 y 1.0.2-beta, incluidas las versiones 1.0.1f y 1.0.2-beta1. De esa manera se puede leer la memoria de los sistemas protegidos por esas versiones vulnerables. Esto pone en compromiso las claves secretas que se utilizan para identificar a los proveedores de servicios y para cifrar el tráfico, los nombres y contraseñas de usuarios, como así también otros datos como números de tarjetas de crédito… Este […]

, , , , , , , , , , , , , ,

Vulnerabilidad en WordPress – W3 Total Cache (Plugin)

WordPress Bug

¿Qué es W3 Total Cache? W3 total Cache es un Plugin para WordPress que optimiza el sistema usando cache para almacenar información de la base de datos, reduciendo las consultas a la base de datos y consiguiendo mayor rendimiento al reducir los tiempos de carga de la Web. Se ha descubierto una vulnerabilidad (Full-Disclosure) en este plugin, debido a que guarda esta información en una carpeta con acceso público. En este archivo se guardan los hases de contraseñas con lo que podríamos tomar el control completo del WebSite. La ubicación del archivo: “http://host/wp-content/w3tc/dbcache/” Simplemente hay que abrir este archivo con un editor de texto plano. Búsqueda de sitios vulnerables usando el buscador de Google: inurl:/wp-content/w3tc/dbcache/  Podemos corregir esta vulnerabilidad actualizando el plugin […]

, , , , ,