Etiqueta: vulnerabilidades

TikTok corrigió vulnerabilidad que hubiera permitido robar el control de las cuentas

Publicado el

por Fco. José Hidalgo

La popular aplicación de vídeos cortos TikTok ha estado expuesta a una serie de vulnerabilidades, según investigaciones llevadas a cabo por la firma de seguridad israelí Check Point. Por suerte, no hay indicios de que hayan sido explotadas por ningún atacante.

En la actualidad, todas estas vulnerabilidades han sido corregidas, según los responsables de la aplicación. El problema es que es una aplicación popular entre los usuarios más jóvenes en todo el mundo, por lo que quizás no puedan ser conscientes de los problemas de seguridad en el uso de aplicaciones móviles y no tengan una cultura suficiente que les lleve a actualizar la aplicación a las últimas versiones disponibles, donde además de corregir los problemas, se realizan otras mejoras.
Continúa leyendo «TikTok corrigió vulnerabilidad que hubiera permitido robar el control de las cuentas»

Una investigación ve vulnerabilidades en las formas en la que las telecos implementan el estándar RCS

Publicado el

por Fco. José Hidalgo

Google tenía razón al manifestar sus preocupaciones en la manera en la que los operadores de telecomunicaciones estaban implementando la tecnología RCS, la sustituta a la tecnología de mensajes de textos cortos SMS, observando que cada operador la implementa de una manera diferente, y que debido a ello, ahora una nueva investigación llevada a cabo por la firma de ciberseguridad Security Research Labs (SRLabs) señala que esta situación está ofreciendo una serie de vulnerabilidades.

SRLabs señala que la tecnología RCS no es vulnerable en sí, sino algunas de las implementaciones que se están llevando a cabo por parte de operadoras de telecomunicaciones, dado que parte del mismo aún no está definido, posibilitando diferentes tipos de ataques, que van desde la interceptación de llamadas hasta la falsificación de los números de teléfonos, pasando también por las posibles filtraciones de las ubicaciones de los propios usuarios.
Continúa leyendo «Una investigación ve vulnerabilidades en las formas en la que las telecos implementan el estándar RCS»

WhatsApp sigue contando con vulnerabilidades que permiten modificar las conversaciones

Publicado el

por Fco. José Hidalgo

La red de mensajería WhatsApp es la plataforma de comunicaciones más usada a nivel mundial, contando actualmente con más de 1.500 millones de usuarios activos. Teniendo esto presente, no es de extrañar que la plataforma de mensajería, propiedad de Facebook, llame poderosamente la atención a todos aquellos que quieran causar perjuicios a diferentes colectivos de usuarios.

En este sentido, la firma de seguridad israelí Checkpoint Research, puso en evidencia la seguridad de la plataforma en una conferencia celebrada ayer en la ciudad de Las Vegas, en los Estados Unidos.
Continúa leyendo «WhatsApp sigue contando con vulnerabilidades que permiten modificar las conversaciones»

Microsoft lanza Project Springfield, herramienta en la nube para la búsqueda de vulnerabilidades

Publicado el

por Fco. José Hidalgo

proyectspringfield

Microsoft ha presentado el lanzamiento de la vista previa de Project Springfield dentro de la conferencia Microsoft Ignite que está celebrando en Atlanta. Se trata de una herramienta de seguridad basada en la nube enfocada en la búsqueda de posibles vulnerabilidades en el código de cualquier software.

Para ello utiliza la técnica denominada prueba de la pelusa, donde el sistema, que está basado en la tecnologí­a de inteligencia artificial, lanza entradas de datos de forma aleatoria e inesperada, de manera que si estas acciones «imprevistas» generan problemas en el software, entonces significa que existen vulnerabilidades de seguridad.
Continúa leyendo «Microsoft lanza Project Springfield, herramienta en la nube para la búsqueda de vulnerabilidades»

Adobe lanza importante parche de seguridad para Flash

Publicado el

por Fco. José Hidalgo

Boletinseguridad

Ya sabemos que al formato Flash le queda poco tiempo hasta su extinción total. Aún así­, a dí­a de hoy seguirá habiendo usuarios que lo sigan usando, usuarios a los que se dirige Adobe para que actualice de inmediato al nuevo parche de seguridad que lanzó la compañí­a anoche para corregir un total de 23 errores, siendo muchas de ellas consideradas como crí­ticas, lo que posibilita que los atacantes puedan ejecutar código malicioso y tomar el control de las máquinas afectadas.

De hecho, una de las vulnerabilidades ya se está empleando para realizar ataques limitados y dirigidos. En riesgo está disponible no sólo en el propio reproductor Flash sino también en otras aplicaciones de Adobe disponibles en equipos Windows, Linux, Mac y Chrome OS así­ como en dispositivos Android e iOS, según el boletí­n de seguridad de la compañí­a.
Continúa leyendo «Adobe lanza importante parche de seguridad para Flash»

WordPress lanza la versión 4.2.3 para corregir importantes vulnerabilidades

Publicado el

por Fco. José Hidalgo

WordPress_logo

WordPress ha anunciado el lanzamiento de la versión 4.2.3 como versión de seguridad para todas las versiones anteriores, insta a aquellos usuarios que tengan WordPress instalado en sus servidores a que actualicen a esta última versión de inmediato, algo que podrán hacer directamente desde la sección de actualizaciones del panel de gestión de sus instalaciones de WordPress, aunque aquellos sitios que soporten actualizaciones automáticas en segundo plano ya están comenzando a recibir la nueva versión.

El motivo por el que se insta a su actualización inmediata es debido a que la nueva versión corrige una vulnerabilidad crí­tica que permite comprometer a los sitios mediante la inyección de código y afectar a los usuarios.

Precisamente, WordPress señala que las versiones de WordPress 4.2.2. y anteriores están afectadas por una vulnerabilidad de cross-site scripting que permitirí­a a usuarios con roles de colaboradores o autores comprometer un sitio. Además de la mencionada vulnerabilidad, también se corrige otra que permitirá a cualquier usuario con permiso de suscripción crear borradores a través de Quick Draft.

La nueva versión de WordPress también corrige unos 20 bugs encontrados dentro de la versión 4.2, los cuales se encuentran mencionados dentro de la lista de cambios para la nueva versión. Desde WordPress agradecen a las fuentes que han encontrado las vulnerabilidades haber sido responsables y haber entrado en contacto con el equipo a nivel interno para resolver los problemas de seguridad.

Firma de seguridad encuentra vulnerabilidades en 16 populares apps Android

Publicado el

por Juan David Quiñónez

virus androidApp Bugs, una firma de seguridad enfocada en el análisis de vulnerabilidades en aplicaciones móviles, ha encontrado importantes problemas en, hasta ahora, 16 populares apps para Android que podrí­an estar poniendo en riesgo la información de alrededor de 80 millones de usuarios de todo el mundo.

El lí­o se muestra en el social login o el inicio de sesión a través de redes sociales que miles de apps usan para facilitar el acceso a sus usuarios pero que con una incorrecta implementación puede llegar a poner en riesgo hasta sus claves en tales servicios.

Comentan en Venture Beat, donde ahondan en la información gracias a lo que App Bugs ha podido compartirles, que parte del problema está en el manejo de los certificados SSL ocupados para la verificación de las cuentas de usuarios quienes requieren un control acorde con las últimos desarrollos de Android. Una vez más, en Venture Beat se señala a fondo el problema. Continúa leyendo «Firma de seguridad encuentra vulnerabilidades en 16 populares apps Android»

Google lanza Cloud Security Scanner para la búsqueda de vulnerabilidad en sitios bajo App Engine

Publicado el

por Fco. José Hidalgo

Google entiende que los sistemas de escaneo de seguridad para las aplicaciones web no siempre son las adecuadas para los desarrolladores, pudiendo ser incluso de difí­cil configuración, con el añadido de que el exceso de información que se ofrecen desde los propios informes, hagan que estas herramientas están mayormente orientadas a los profesionales de la seguridad.

En este sentido, Google acaba de poner a disposición de los desarrolladores de App Engine el nuevo servicio Cloud Security Scanner, en fase beta, con la que podrán escanear sus aplicaciones web para detectar si disponen de dos vulnerabilidades comunes: cross-site scripting (XSS) y el contenido mixto. En cada verificación, Google cuenta con una pequeña red de bots de Compute Engine que escanean el sitio, ofreciendo unas quince peticiones por segundo. En una segunda pasada, el escaneo se fija en partes más complejas del mismo, y posteriormente, realiza una especie de ataque al mismo a través de una carga de peticiones.

Para realizar esta acción, Google utiliza el depurador integrado en la DevTools de Chrome, encargándose de comprobar cualquier cambio que se produzca en el navegador y en el DOM para verificar si la inyección se ha realizado satisfactoriamente, y por ende, si podrí­a llegar a ser explotada.

Google quiere con Cloud Security Scanner enfocarse en tres objetivos: que sea de fácil instalación y uso, que detecte los problemas más comunes a los que los desarrolladores de App Engine deben enfrentarse con mí­nimo de falsos positivos, y que soporte el escaneos potentes que puedan con aplicaciones web con pesados comandos JavaScript.

Para los interesados, Google ofrece más información del nuevo servicio dentro de Google Cloud Platform.

Google aumenta el rango de recompensas por los errores que se encuentren en Chrome

Publicado el

por Fco. José Hidalgo

Chrome Logo

Uno de los aspectos a los que desde Google prestan especial atención es a la seguridad de su navegador Chrome, siendo conscientes de que en la actualidad, Chrome es ya lo suficientemente seguro, lo que dificulta las posibilidades de encontrar nuevas vulnerabilidades.

Ante esta situación, desde Google han decidido aumentar el rango de recompensas dentro de su programa de recompensas de errores, llegando al máximo de 15.000 dólares por error en lugar de los 5.000 dólares del anterior rango, fomentando así­ el interés y el esfuerzo extra que se tendrán que realizar desde la comunidad de investigadores, cuya ayuda ha permitido hasta el momento el arreglo de más de 700 errores de seguridad encontrados, premiándose con más de 1,25 millones de dólares a través de dicho programa. No obstante, desde Google dejan claro que pueden hacer excepciones que permita premiar con cantidades superiores, sobre todo, por grandes informes.

Google también añade que van a pagar el precio alto del rango cuando los investigadores puedan proporcionar un exploit en el que puedan demostrar la trayectoria de un ataque especí­fico contra los usuarios. Ante ello, los investigadores pueden optar por presentar primero la vulnerabilidad y más adelante el seguimiento con un exploit. Creen que con ello ganarán ambas partes, tanto para la seguridad como para los investigadores, dando lugar al parcheo de los errores temprano y que los colaboradores puedan reclamar los errores lo más pronto posible, evitando la posibilidad de que se presente un informe por duplicado.

Unos aspectos más a tener en cuenta son, por un lado, el reconocimiento público de Google ante los colaboradores a través del Salón de la Fama, y por otro lado, van a recompensar con el nuevo rango a las presentaciones realizadas desde el pasado 1 de julio del presente año.

Gana 1 millón de dólares hackeando Chrome

Publicado el

por Miriam Schuager

Dentro de pocos dí­as se iniciará un nueva edición de Pwn2Own, la competencia que se lleva a cabo dentro de CanSecWest y que ha cobrado notable expectativas debido al reciente anuncio de parte de Google.

Pwn2Own es una competencia donde los mejores hackers de todas partes del mundo ponen a prueba la seguridad de los navegadores web y softwares. El año pasado Google Chrome fue uno de los que salió invicto, por lo que este año esperan tener el mismo resultado.

Como muestra de la confianza que depositan en la seguridad de su navegador, desde Google han ofrecido una recompensa que suma hasta un millón de dólares. Esto se distribuirá en diferentes cantidades dependiendo el grado de vulnerabilidad que hayan conseguido, que partirá desde los 20 mil dólares. Y como bonus, se llevarán un Chromebook.

Uno de los requisitos para poder recibir estos premios, es que los participantes ganadores guarden una especie de confidencialidad sobre los detalles de las vulnerabilidades encontradas, y que solo sean reveladas a Google. Esto obviamente es ajeno a las reglas del concurso que permite que los participantes no revelen ningún detalle de sus logros en la competencia.

Link: blog.chromium.org | Ví­a: Thenextweb