Tag: parche (Page 1 of 5)

WordPress 4.1.2 repara vulnerabilidad crítica XSS, actualiza ya

Logo de WordPress con letrero de 'Update'

Si tienes un blog montado sobre WordPress, vale la pena que actualices tan pronto como puedas al nuevo WordPress 4.1.2, el cual corrige varias vulnerabilidades (4 para ser exactos), una de alto riesgo, tres de medio y cuatro modificaciones sirven para endurecer la seguridad de WordPress. La vulnerabilidad de alto nivel es en realidad crítica, es de tipo cross-site-scripting y permite que un usuario anónimo pueda comprometer un sitio. Más aún, el día de ayer se supo que varios plugins de alto perfil contienen vulnerabilidades XSS; plugins como JetPack, WordPress SEO y Google Analytics (ambos de Yoast y muy usados), WPTouch, All-In-One SEO y otros más: como puedes ver, muchos plugins de primera línea. Vale la pena mencionar que estos errores vinieron justo de la documentación de dos funciones internas de WordPress. En fin, les aconsejo actualizar lo más pronto que puedan…y recuerden, cuando se trata de WordPress, estar al día es la mejor estrategia de seguridad.

HeartBleed: dos meses después, cientos de miles de servidores siguen vulnerables

Logo HeartBleed

A pesar de ser una de las peores vulnerabilidades de seguridad en la red que se han dado en años recientes, HeartBleed aún sigue dando de que hablar, pues según informes de la empresa Errata Security aún quedan poco más de 300,000 servidores que no tienen los parches adecuados; esta empresa encontró estos servidores haciendo un simple escaneo de puertos 443, y es consistente con el estudio que realizó antes y donde encontraron casi 310,000, de lo que sale una diferencia de apenas unos 9,000 servidores parchados en 30 días, lo cual pareciera que los responsables de aplicar dichos parches se están volviendo flojos. El método usado por Errata Security no es exactamente preciso, así que podrían ser menos…o quizás muchos más los servidores infectados. Y es que este problema del HeartBleed es particularmente peligroso porque habrá software que nunca será parchado, como el de los sistemas empotrados, teléfonos viejos con Android, cajeros automáticos y otros más que difícilmente verán actualizaciones. Como en veces anteriores, hay poco que se puede hacer al respecto; una de esas cosas es instalar un plugin en tu navegador para detectar sitios vulnerables y evitarlos en particular en el tema de solicitud de datos bancarios; usar características de seguridad de sentido común como passwords fuertes y únicos, habilitar esquemas de autenticación de dos factores y ser un poquito menos confiados de que no nos pasará nada mientras navegamos en la red, más aún cuando el panorama de recuperación de este HeartBleed no es bueno – los investigadores que proporcionaron las cifras de este estudio dicen que aún dentro de 10 años esperan encontrar miles de servidores sin parchar.

Último recurso de Microsoft para que dejes Windows XP: el miedo

Papel tapiz viejo de XP (por manoluv)

Parece más una maldición para Microsoft que otra cosa, pero impresionantemente la empresa de Redmond no logra que muchos usuarios se desprendan de Windows XP: todavía es la segunda versión más popular con 37.2% de los escritorios, siendo Windows 7 la primera con 44.5% del total de PC’s instaladas. Y hay que ver que ya intentaron de todo, pero hasta hoy todas esas medidas han sido poco efectivas. Ahora Microsoft está intentando otra cosa: meterle miedo a los usuarios que quedan de XP. ¿Cómo? fácil, con los parches de seguridad. Microsoft está jugando la carta de que, después del 8 abril de 2014, que es cuando se termina el soporte de Windows XP, la empresa básicamente le estará dando la información de las vulnerabilidades a los atacantes, dejando a XP en un estado de vulnerabilidad “zero-day” permanente. Mucha gente se ha confundido con estas declaraciones, y ciertamente hay que explicarlas: el argumento es que después que se termine el soporte, seguirán produciendo parches para las versiones activas menos para XP; entonces los malandros tomarán los parches, les aplicarán ingeniería inversa y podrán determinar que vulnerabilidad buscan parchar, e irán a fastidiar a XP; en pocas palabras, Microsoft les estará diciendo como atacar a XP, sin “quererlo” claro, pero el efecto será el mismo: XP será tierra de nadie, y muy seguramente esto sea el clavo en el ataúd de este sistema operativo que tiene 12 años en PC’s y otros dispositivos.

Por supuesto, seríamos muy inocentes si pensáramos que Microsoft hace esto porque le importe la seguridad de los usuarios: lo hace porque según cálculos el mercado de actualización repreenta una oportunidad de unos USD $12 mil millones, lo cual es una cifra nada despreciable, en particular si tenemos en cuenta todo el efectivo que ha sangrado Microsoft por el tema del fiasco de la tablet Surface, principalmente.

Microsoft tendrá que enfrentar 3 escenarios como yo lo veo: los que saben como les irá y ni así se quieren cambiar; los que no tienen ni idea que tienen que actualizarse (los hay y muchos, créanme ), y por último aquellos con necesidades especiales (de usar XP por alguna razón ); un muy probable cuarto caso serán aquellos que saben que tienen que cambiarse y les importa un bledo. En todos los casos excepto el anterior, Microsoft tendrá que usar más que el miedo para hacer que se cambien de versión. Y como usuario les digo, si entre ustedes queda alguno que use XP todavía, como ya he dicho muchas veces antes, es hora de dejarlo ir. Simplemente ya no vale la pena usarlo.

Para los desesperados: como ejecutar FaceBook Home en (casi) cualquier smartphone con Android

FaceBook Home

Si te gusta FaceBook seguro seguiste de cerca el anuncio de FaceBook Home, una especie de skin que toma control de smartphones con Android y lo convierte en una extensión de FaceBook, sólo en caso de que te haga falta más FaceBook en tu vida (eso fue sarcasmo). Si seguiste el lanzamiento, quizás te desanimó saber que inicialmente sólo correría en unos cuantos teléfonos, entre los cuales muy seguramente el tuyo no estaba. Pues bien, viendo este terrible problema de primer mundo, en los foros de MoDaCo parcharon una versión de FaceBook Home de modo que no ande de malaveriguado investigando en que teléfono lo están ejecutando, y voilá, FaceBook Home para todos. Lo único que tendrás que hacer es habilitar la instalación de aplicaciones de fuentes desconocidas (en la sección de seguridad de tu teléfono), y después descargar e instalar la versión parchada de FaceBook Home, eso si, previamente habiendo desinstalado FaceBook y FaceBook Messenger – esto es importante. Pudiera ser más difícil en smartphones con FaceBook preinstalado (en particular algunos HTC), y de ser este tu caso tendrás que rootear tu teléfono y borrar las apps a mano.

En fin, para los desesperados de más FaceBook en sus vidas, pueden encontrar las instrucciones en este enlace, están en inglés pero no tendrán problema para traducirlo con alguna herramienta de Internet. Se da por sentado, pero de todos modos lo aclaro: no lo he intentado, no lo pienso intentar. Ni ahora ni cuando salga para mi teléfono. Así que procedan cautela, y bajo su propia responsabilidad…

Fuente: TechCrunch

Nueva y crítica vulnerabilidad en Internet Explorer, y como protegerse

Candado roto

Cada vez quedan menos y menos razones para seguir usando Internet Explorer, pero si eres de esos que todavía lo usan por…lo que sea, debes de saber que investigadores descubrieron una peligrosa vulnerabilidad que permite que atacantes puedan instalar software malicioso con tan sólo visitar un sitio construido para tal fin, pudiendo infectar Internet Explorer desde su versión 6 hast la 9; la 10 parece ser inmune al problema.. Al parecer, el ataque está dirigido a industrias particulares, pues se sabe que los atacantes pudieron haber comprometido a un sitio de noticias de la industria de la defensa. Por ahora, hay varios dominios identificados entre los que están nod32XX.com, led-professional-symposium.org y defensenews.in, a los cuales por supuesto no entres. Por su parte, Microsoft lanzará un FixIt (un parche para la vulnerabilidad) en los próximos días, pero mientras puedes llevar a cabo estas medidas de seguridad para prevenir problemas:

  • Instalar EMET: Enhanced Mitigation Experience Toolkit es una herramienta de Microsoft que permite evitar los exploits. Su uso lo recomiendo para usuarios avanzados que sepan lo que están haciendo, en particular que conozcan como funcionan tecnologías como DEP y otras más.
  • Establecer la seguridad de las zonas Internet y de intranet local a “Alta” y bloquear controles ActiveX y Active Scripting en estas zonas, lo cual detendría el ataque pero afectaría la usabilidad a la vez.
  • Configurar Explorer para que pregunte antes de ejecutar Active Scripting o bien deshabilitarlo, lo cual también se puede traducir en usabilidad reducida.

Estos, como dije antes, son remedios en lo que Microsoft libera el FixIt antes mencionado. Dicho sea de paso que esta es otra razón para dejar de usar Internet Explorer; en otros lugares del mundo, a raiz de esta vulnerabilidad algunos gobiernos, como el de Alemania, le pidieron a la gente eviten usar Internet Explorer hasta que se repare el problema. Si tan sólo fuera así en todos lados…

Estén pendientes por aquí del FixIt cuando salga.

Google prepara parche para vulnerabilidad en Android

Android con parche

¿Recuerdas esa vulnerabilidad que afecta al 99% de los handsets con Android? bueno, Google reaccionó bastante rápido y anunció que en estos días parchará el problema mediante una actualización del lado de sus servidores, es decir, los usuarios no tendrán que hacer nada y el parche funcionará para todas las versiones de Android. El parche mencionado sólo repara la vulnerabilidad en cuanto a Google Docs y Google Calendar, pero la vulnerabilidad de Picassa es distinta desde un punto de vista tecnológico (de acuerdo con Google), así que esa tendrá que esperar un poco más, tiempo que no ha sido especificado por Google. Por ahora, lo mejor que puedes seguir haciendo es conectarte a redes wireless encriptadas, o bien usar la conexión 3G o 4G de tu teléfono.

No sé ustedes, pero como usuario de un handset con Android, si bien no estoy muy contento con el fallo, si estoy contento con la velocidad con la que Google está atacando el problema.

Fuente: Boy Genius Report

Primera vulnerabilidad crítica en FireFox 3.5

Bienvenida de FireFox 3.5

La empresa especializada en seguridad Secunia advirtió de un nuevo agujero de seguridad altamente crítico en FireFox 3.5 (y probablemente en otras versiones), que permite a los atacantes ejecutar código arbitrario en la computadora de la víctima. Esta vulnerabilidad se debe a la forma en que FireFox 3.5 maneja JavaScript, y afortunadamente debido a esto puedes aplicar un parche rápido mientras aparece la versión 3.5.1, que corregirá este problema. Para remediar temporalmente esta vulnerabilidad, haz lo siguiente:

  1. En la caja de dirección teclea about:config
  2. En la caja de filtro, introduce “javascript.options.jit.content” (sin comillas) y cambia su valor a false (falso)

Esto ocasionará que el desempeño de JavaScript se vea impactado negativamente, pero mejor ir más lento a ir más infectado. No está de más que cambien su configuración tal y como dice arriba, pues con casi 28 millones de copias descargadas de FireFox 3.5, hay bastantes blancos potenciales de ataques. A estas horas ya debe de estar lista la versión 3.5.1 de FireFox, que ya tendrá corregido este problema y podrán seguirlo usando como siempre.

Fuente: Mashable, Download Squad

Microsoft advierte de nuevo y peligroso agujero de seguridad en Internet Explorer

IE8 con cucaracha

Cuando Microsoft se sale de su guión de liberar parches cada segundo martes del mes (el “patch tuesday”, como se le conoce) para advertir de una vulnerabilidad, significa que van a anunciar algo muy malo: Microsoft advirtió de una nueva y a decir de ellos seria vulnerabilidad en Internet Explorer, la cual afecta a usuarios que estén usando Windows XP o Windows 2003 Server. La vulnerabilidad permite que un hacker tome control remotamente de la computadora de la víctima; lo único que tiene que hacer la víctima para infectarse es visitar un sitio que haya sido hackeado. Específicamente, la infección se hace a través de enlaces a videos; al hacer clic sobre estos, el hacker puede ejecutar código arbitrario bajo los mismos privilegios que el usuario local. Y esto no es en teoría: Microsoft sabe que se ha estado explotando este agujero desde hace unas semanas.

Si estás ejecutando Internet Explorer bajo Windows XP o Windows 2003 Server, deberías de usar el parche de emergencia, el cual puedes encontrar en este enlace. El parche final saldrá dentro de poco. Eso o puedes probar FireFox

Fuente: Mashable

Page 1 of 5

Powered by WordPress & Theme by Anders Norén