Archivo de la etiqueta: vulnerabildad

Averigua cuando debes cambiar tu contraseña en los servicios que utilizas por culpa de Heartbleed

Todos habréis leído del problema de seguridad del protocolo OpenSSL, que ha puesto en jaque a millones de servidores que pueden ser explotados por esa vulnerabilidad.

Heartbleed es el nombre oficial que han dado a este fallo, pero bien ya sabemos que existe, y que ha afectado al menos a 2.000.000 sitios. Entonces que debo hacer como usuario?.

Pues bien una opción es cambiar tu contraseña en los servicios, cuando hacerlo es lo que nos indican en el siguiente enlace: Heartbleed Checkers.

Si lo visitas buscar cuando cambiar la contraseña en sitios como: Yahoo, Dropbox, y cualquier otro que tu busques.

heartbleed checker

Aquí tienes una larga lista de sitios vulnerables también!

Detectan nueva vulnerabilidad en OpenSSl, mejor actualizalo

La gente de OpenSSL ha dado a conocer en un comunicado oficial, que recientemente han detectado una vulnerabilidad importante en su protocolo de encriptación, e invitan a sus usuario a realizar la actualización a su última versión.

Lo que mencionan en el comunicado es que OpenSSL v- 1.0.1, 1.0.2-beta, 1.0.1f y 1.0.2-beta1 se ven afectadas por la vulnerabilidad sin detallar más sobre ella.

Seguidamente invitan a sus usuarios a realizar la actualización a la versión 1.0.1g. Según parece y algunos expertos que han hablado del tema la vulnerabilidad estaría presente en la cuarta capa, afectando directamente al protocolo de transporte (TSL).

El problema parece que lleva algún tiempo, pero lo han hecho público visto la gravedad, pues algunos usuarios tenían conocimiento del mismo pero por notificación privada

Encuentran una vulnerabilidad e WinRar para atacar a las empresas

Todos sabemos que una de las herramientas más utilizada para comprimir y descomprimir ficheros es WinRAR.

Esa popularidad la hace objetivo de los hackers, que buscan como utilizar este software con oscuras intenciones, y resulta que ahora han encontrado una que permite hacer uso de WinRAR para atacar a empresas.

«La vulnerabilidad encontrada permite crear un falso archivo zip, que parece solo tener ficheros inofensivos, pero realmente el propio malware reside en el archivo comprimido que al intentar abrir infectará el sistema de las víctimas».

La vulnerabilidad afecta a todas las versiones incluyendo la reciente 5.1, evidentemente la compañía esta trabajando en un parche que anule el fallo de seguridad.

Sin embargo desde el pasado 24 de Marzo los hackers están utilizando este fallo contra grandes empresas, entes del gobierno, etc…

Así que mucho cuidado con lo que vais a descomprimir, y ejecutar al menos hasta que salga el parche!

Vía: Welivesecurity

Vulneravilidad en Dropbox permite saltarse los dos pasos de verificación

Dropbox

Ya son varios los servicios en web que cuentan con un sistema de dos pasos para brindar mayor seguridad a los usuarios y evitar que personas no autorizadas ingresen, uno de estos servicios es Dropbox, que cuenta con un sistema similar, sin embargo se ha descubierto una manera de saltarse esta verificación.

Según se señala, siempre y cuando alguien cuente con el nombre de usuario y contraseña de una cuenta, se podrá acceder sin necesidad de esta verificación en dos pasos, con un par de trucos. Por ejemplo, como Dropbox no verifica  los correos electrónicos cuando acceden a una nueva cuenta, un hacker puede utilizar una cuenta de correo similar a una existente, colocándola por un tiempo en otro sitio.

Para usar esta cuenta falsa se activa la autenticación de emergencia y un código se genera en caso de que el usuario extravíe su teléfono. Cuando el hacker intente registrarse en el servicio con el correo de la victima y le pida el código de seguridad, el hacker podrá seleccionar la opción de que el usuario perdió su teléfono y así se le enviará el código de emergencia.

Ya que el correo electrónico del hacker es similar al de la victima, el código funcionará en la cuenta de la victima y al entrar podrá desactivar la verificación en dos pasos y así ganar el control de la cuenta.

Obviamente este proceso funciona si se conoce el password de la victima, pero al obtenerlo puede inhabilitar con relativa facilidad la verificación de seguridad. Al respecto el equipo de Dropbox ha dicho que ya trabaja para corregir este problema.

Vía: SlashGear