Etiqueta: vulnerabilidades

WordPress lanza la versión 4.2.3 para corregir importantes vulnerabilidades

Publicado el 23 julio, 2015

WordPress ha anunciado el lanzamiento de la versión 4.2.3 como versión de seguridad para todas las versiones anteriores, insta a aquellos usuarios que tengan WordPress instalado en sus servidores a que actualicen a esta última versión de inmediato, algo que podrán hacer directamente desde la sección de actualizaciones del panel de gestión de sus instalaciones de WordPress, aunque aquellos sitios que soporten actualizaciones automáticas en segundo plano ya están comenzando a recibir la nueva versión.

El motivo por el que se insta a su actualización inmediata es debido a que la nueva versión corrige una vulnerabilidad crítica que permite comprometer a los sitios mediante la inyección de código y afectar a los usuarios.

Precisamente, WordPress señala que las versiones de WordPress 4.2.2. y anteriores están afectadas por una vulnerabilidad de cross-site scripting que permitiría a usuarios con roles de colaboradores o autores comprometer un sitio. Además de la mencionada vulnerabilidad, también se corrige otra que permitirá a cualquier usuario con permiso de suscripción crear borradores a través de Quick Draft.

La nueva versión de WordPress también corrige unos 20 bugs encontrados dentro de la versión 4.2, los cuales se encuentran mencionados dentro de la lista de cambios para la nueva versión. Desde WordPress agradecen a las fuentes que han encontrado las vulnerabilidades haber sido responsables y haber entrado en contacto con el equipo a nivel interno para resolver los problemas de seguridad.

Firma de seguridad encuentra vulnerabilidades en 16 populares apps Android

Publicado el 28 junio, 2015

por Juan David Quiñónez

App Bugs, una firma de seguridad enfocada en el análisis de vulnerabilidades en aplicaciones móviles, ha encontrado importantes problemas en, hasta ahora, 16 populares apps para Android que podrían estar poniendo en riesgo la información de alrededor de 80 millones de usuarios de todo el mundo.

El lío se muestra en el social login o el inicio de sesión a través de redes sociales que miles de apps usan para facilitar el acceso a sus usuarios pero que con una incorrecta implementación puede llegar a poner en riesgo hasta sus claves en tales servicios.

Comentan en Venture Beat, donde ahondan en la información gracias a lo que App Bugs ha podido compartirles, que parte del problema está en el manejo de los certificados SSL ocupados para la verificación de las cuentas de usuarios quienes requieren un control acorde con las últimos desarrollos de Android. Una vez más, en Venture Beat se señala a fondo el problema. Continúa leyendo «Firma de seguridad encuentra vulnerabilidades en 16 populares apps Android»

Google lanza Cloud Security Scanner para la búsqueda de vulnerabilidad en sitios bajo App Engine

Publicado el 19 febrero, 2015

por Fco. José Hidalgo

Google entiende que los sistemas de escaneo de seguridad para las aplicaciones web no siempre son las adecuadas para los desarrolladores, pudiendo ser incluso de difícil configuración, con el añadido de que el exceso de información que se ofrecen desde los propios informes, hagan que estas herramientas están mayormente orientadas a los profesionales de la seguridad.

En este sentido, Google acaba de poner a disposición de los desarrolladores de App Engine el nuevo servicio Cloud Security Scanner, en fase beta, con la que podrán escanear sus aplicaciones web para detectar si disponen de dos vulnerabilidades comunes: cross-site scripting (XSS) y el contenido mixto. En cada verificación, Google cuenta con una pequeña red de bots de Compute Engine que escanean el sitio, ofreciendo unas quince peticiones por segundo. En una segunda pasada, el escaneo se fija en partes más complejas del mismo, y posteriormente, realiza una especie de ataque al mismo a través de una carga de peticiones.

Para realizar esta acción, Google utiliza el depurador integrado en la DevTools de Chrome, encargándose de comprobar cualquier cambio que se produzca en el navegador y en el DOM para verificar si la inyección se ha realizado satisfactoriamente, y por ende, si podría llegar a ser explotada.

Google quiere con Cloud Security Scanner enfocarse en tres objetivos: que sea de fácil instalación y uso, que detecte los problemas más comunes a los que los desarrolladores de App Engine deben enfrentarse con mínimo de falsos positivos, y que soporte el escaneos potentes que puedan con aplicaciones web con pesados comandos JavaScript.

Para los interesados, Google ofrece más información del nuevo servicio dentro de Google Cloud Platform.

Google aumenta el rango de recompensas por los errores que se encuentren en Chrome

Publicado el 30 septiembre, 2014

por Fco. José Hidalgo

Uno de los aspectos a los que desde Google prestan especial atención es a la seguridad de su navegador Chrome, siendo conscientes de que en la actualidad, Chrome es ya lo suficientemente seguro, lo que dificulta las posibilidades de encontrar nuevas vulnerabilidades.

Ante esta situación, desde Google han decidido aumentar el rango de recompensas dentro de su programa de recompensas de errores, llegando al máximo de 15.000 dólares por error en lugar de los 5.000 dólares del anterior rango, fomentando así el interés y el esfuerzo extra que se tendrán que realizar desde la comunidad de investigadores, cuya ayuda ha permitido hasta el momento el arreglo de más de 700 errores de seguridad encontrados, premiándose con más de 1,25 millones de dólares a través de dicho programa. No obstante, desde Google dejan claro que pueden hacer excepciones que permita premiar con cantidades superiores, sobre todo, por grandes informes.

Google también añade que van a pagar el precio alto del rango cuando los investigadores puedan proporcionar un exploit en el que puedan demostrar la trayectoria de un ataque específico contra los usuarios. Ante ello, los investigadores pueden optar por presentar primero la vulnerabilidad y más adelante el seguimiento con un exploit. Creen que con ello ganarán ambas partes, tanto para la seguridad como para los investigadores, dando lugar al parcheo de los errores temprano y que los colaboradores puedan reclamar los errores lo más pronto posible, evitando la posibilidad de que se presente un informe por duplicado.

Unos aspectos más a tener en cuenta son, por un lado, el reconocimiento público de Google ante los colaboradores a través del Salón de la Fama, y por otro lado, van a recompensar con el nuevo rango a las presentaciones realizadas desde el pasado 1 de julio del presente año.

Gana 1 millón de dólares hackeando Chrome

Publicado el 28 febrero, 2012

por Miriam Schuager

Dentro de pocos días se iniciará un nueva edición de Pwn2Own, la competencia que se lleva a cabo dentro de CanSecWest y que ha cobrado notable expectativas debido al reciente anuncio de parte de Google.

Pwn2Own es una competencia donde los mejores hackers de todas partes del mundo ponen a prueba la seguridad de los navegadores web y softwares. El año pasado Google Chrome fue uno de los que salió invicto, por lo que este año esperan tener el mismo resultado.

Como muestra de la confianza que depositan en la seguridad de su navegador, desde Google han ofrecido una recompensa que suma hasta un millón de dólares. Esto se distribuirá en diferentes cantidades dependiendo el grado de vulnerabilidad que hayan conseguido, que partirá desde los 20 mil dólares. Y como bonus, se llevarán un Chromebook.

Uno de los requisitos para poder recibir estos premios, es que los participantes ganadores guarden una especie de confidencialidad sobre los detalles de las vulnerabilidades encontradas, y que solo sean reveladas a Google. Esto obviamente es ajeno a las reglas del concurso que permite que los participantes no revelen ningún detalle de sus logros en la competencia.

Link: blog.chromium.org | Vía: Thenextweb

Google Chrome implementará un generador de contraseñas

Publicado el 15 febrero, 2012

por Miriam Schuager

Uno de los puntos débiles al navegar por la web para mantener la privacidad es la utilización de contraseñas. Si bien todos conocemos cuáles son las pautas para crear una contraseña segura, solemos utilizar contraseñas inseguras o repetitivas en diferentes servicios web.

Google Chrome quiere ser nuestro aliado en este tema, convirtiéndose en un verdadero administrador de contraseñas, que no solo las recuerde por nosotros, sino que también nos ayudará implementando un generador de contraseñas.

¿Cómo funcionaría? Para empezar el navegador debe detectar cuando nos encontremos ante un formulario de registro que nos solicite colocar un usuario y contraseña. Cuando detecte esto, abrirá una ventana emergente donde nos preguntará si deseamos gestionar la contraseña a través del navegador.

Si nuestra respuesta es afirmativa, entonces a través de un generador de contraseñas nos sugeriría algunas opciones aleatorias, por supuesto, respetando todas las reglas de una contraseña segura. Como será difícil recordar este tipo de contraseñas, Chrome será el encargado de guardarlas para su futura utilización en cualquiera de nuestros dispositivos.

Si te estás preguntando qué sucederá cuando no puedas o no desees utilizar Chrome para acceder a los sitios web con las contraseñas que has guardado, parece que hay una solución. La idea sería tener un sitio web donde el usuario pueda recurrir y ver todas las contraseñas que se han generado.

¿Qué te parece hasta el momento la idea? Aún le falta mucho trabajo a este proyecto para que pueda presentarse como un método eficaz y seguro, ya que hay muchas situaciones que tienen que contemplarse, que van desde la configuración de los formularios en los diferentes sitios web hasta las vulnerabilidades que puede presentar el administrar todas las contraseñas desde el navegador.

Vía: Chrome Story

6Scan – previene posibles ataques a tu sitio web

Publicado el 16 enero, 2012

por Fco. José Hidalgo

Nadie estamos a salvo de que en cualquier momento nuestros sitios web reciban ataques aprovechando las posibles vulnerabilidades que tengan las plataformas en las que basamos nuestras publicaciones online, posibilitando la modificación de contenidos e incluso el robo de información importante.

6Scan es una herramienta de seguridad para sitios web que nos alerta de los posibles problemas detectados que nos pudiera afectar, a través de las notificaciones, en las cuales nos indicarán los pasos a seguir para cerrar dichas brechas de seguridad detectadas en nuestra plataforma.

De momento sólo tiene soporte para la plataforma WordPress, aunque más adelante soportarán otras plataformas populares de publicación online. La instalación de este servicio es sencilla, basada en plugins. Y en cualquier caso, podemos acogernos a uno de los tres planes de tarificación disponibles, cada una de ellas con sus correspondientes servicios y soportes, existiendo una primera opción de carácter gratuito.

Enlace: 6Scan