Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
▼
2018
(Total:
150
)
-
▼
enero
(Total:
14
)
- Una app de fitness revela ubicaciones de bases y p...
- Microsoft publica parche para desactivar la actual...
- LibreOffice 6.0 llegará con mejoras de diseño
- Con 15 años robó información secreta de Estados Un...
- Herramienta utilizada en todos los juegos de Blizz...
- Tinder sigue utilizando peticiones inseguras HTTP ...
- Hospital paga 55 mil dólares por un Ransomware a p...
- La agencia de emergencias de Hawái mostró un post-...
- Nueva oleada de phishing para robar cuentas de Net...
- Barcelona usará más software libre y menos product...
- Múltiples vulnerabilidades en NAS de Western Digit...
- Analizan posible fallo de seguridad en los chats g...
- Parches de seguridad para Meltdown y Spectre
- Error de diseño en las CPU Intel: solucionarlo ral...
-
▼
enero
(Total:
14
)
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
237
)
manual
(
222
)
software
(
206
)
hardware
(
196
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Parches de seguridad para Meltdown y Spectre
viernes, 5 de enero de 2018
|
Publicado por
el-brujo
|
Editar entrada
En términos de seguridad informática, no podía empezar peor el año 2018, con una de las vulnerabilidades que más dará que hablar durante los próximos meses. Los procesadores usados en Android (mayoritariamente ARM) también son vulnerables al fallo de seguridad Spectre. Google afirma que no tienen conocimiento de ninguna reproducción exitosa de esta vulnerabilidad que permite la divulgación de información no autorizada en dispositivos Android.
Google afirma que no ha sido capaz de reproducir Spectre en ningún dispositivo Android, por lo que no cree necesario lanzar un parche específico para esta vulnerabilidad. Sin embargo, para que los usuarios queden seguros, afirma que el parche para la vulnerabilidad CVE-2017-13218 del Kernel de Android implementa una serie de controles que limita, aún más, los vectores de ataque de Spectre contra los procesadores ARM.
En la plataforma de Android, la explotación ha demostrado ser difícil y limitada en la mayoría de los dispositivos Android. El nivel de revisión de seguridad (SPL) de Android 2018-01-05 incluye mitigaciones que reducen el acceso a temporizadores de alta precisión que limitan los ataques a todas las variantes conocidas en los procesadores ARM. Estos cambios se lanzaron a los socios de Android en diciembre de 2017.
Las futuras actualizaciones de seguridad de Android incluirán mitigaciones adicionales. Estos cambios son parte de Linux upstream.
Los dispositivos Android compatibles con Google incluyen Nexus 5X, Nexus 6P, Pixel C, Pixel / XL y Pixel 2 / XL. Los usuarios deben aceptar las actualizaciones mensuales para enero de 2018 en Nexus o sus dispositivos asociados para recibir estas actualizaciones. Los dispositivos Pixel o los dispositivos asociados que utilizan actualizaciones del sistema A / B (sin interrupciones) instalarán automáticamente estas actualizaciones; los usuarios deben reiniciar sus dispositivos para completar la instalación.
Los dispositivos Nexus y Pixel admitidos con la última actualización de seguridad están protegidos.
Los parches de seguridad de Android de enero de 2018 corrigen además 38 vulnerabilidades
Microsoft publicó este miércoles una actualización de emergencia para Windows que se instalará automáticamente si usas Windows 10 y que puedes descargar de forma manual desde el menú de configuración de Windows 7 y Windows 8. Sin embargo, el parche podría entrar en conflicto con tu antivirus si este no actualiza antes una clave de registro específica.
Para solventar el problema, Microsoft recomienda que contactes con el desarrollador de tu antivirus o uses Microsoft Security Essentials, la suite de seguridad gratuita de la propia Microsoft.
En caso de Linux, podemos utilizar la herramienta spectre-meltdown-checker que podemos encontrar en GitHub, publicada por el usuario speed47. De forma muy similar al script de PowerShell anterior, nos avisa de si nuestro equipo es vulnerable a Spectre y Meltdown de forma simple.
Descargar y ejecutar el script es sencillo si habéis clonado proyectos de GitHub anteriormente. Por si acaso, los comandos a ejecutar son los siguientes:
Firefox:
Y Google ha anunciado la disponibilidad de Chrome 64 el próximo 23 de enero, una versión que activará este tipo de mecanismos de seguridad por defecto (también puedes habilitarlo manualmente desde chrome://flags/#enable-site-per-process en tu versión actual de Chrome).
Chrome/Chromium:
Descubre si tu navegador es vulnerable a Spectre
Permite comprobar de forma rápida si nuestro navegador es susceptible de ser atacado mediante la fallo Spectre utilizando para ello código JavaScript:
En el ámbito de la infraestructura Cloud, donde los riesgos son igualmente enormes (imprevisibles, pero aparentemente son incluso más preocupantes) las empresas también están actuando
.En Azure han decidido adelantar sus mantenimientos programados, que se efectuarán durante esta madrugada (3:30 PM PST, 3 de enero de 2018). Amazon también ha publicado un comunicado en el que avisa de que la mayoría de las instancias de Amazon EC2 están protegidas (suponemos que hablan de Meltdown) y habrá más actualizaciones en el futuro.
Parche de seguridad para Android corrige vulnerabilidad Spectre
Google afirma que no ha sido capaz de reproducir Spectre en ningún dispositivo Android, por lo que no cree necesario lanzar un parche específico para esta vulnerabilidad. Sin embargo, para que los usuarios queden seguros, afirma que el parche para la vulnerabilidad CVE-2017-13218 del Kernel de Android implementa una serie de controles que limita, aún más, los vectores de ataque de Spectre contra los procesadores ARM.
En la plataforma de Android, la explotación ha demostrado ser difícil y limitada en la mayoría de los dispositivos Android. El nivel de revisión de seguridad (SPL) de Android 2018-01-05 incluye mitigaciones que reducen el acceso a temporizadores de alta precisión que limitan los ataques a todas las variantes conocidas en los procesadores ARM. Estos cambios se lanzaron a los socios de Android en diciembre de 2017.
Las futuras actualizaciones de seguridad de Android incluirán mitigaciones adicionales. Estos cambios son parte de Linux upstream.
Los dispositivos Android compatibles con Google incluyen Nexus 5X, Nexus 6P, Pixel C, Pixel / XL y Pixel 2 / XL. Los usuarios deben aceptar las actualizaciones mensuales para enero de 2018 en Nexus o sus dispositivos asociados para recibir estas actualizaciones. Los dispositivos Pixel o los dispositivos asociados que utilizan actualizaciones del sistema A / B (sin interrupciones) instalarán automáticamente estas actualizaciones; los usuarios deben reiniciar sus dispositivos para completar la instalación.
Los dispositivos Nexus y Pixel admitidos con la última actualización de seguridad están protegidos.
Los parches de seguridad de Android de enero de 2018 corrigen además 38 vulnerabilidades
Parches de Seguridad contra Spectre y Meltdown
Microsoft Windows
Herramienta gratuita de Steve Gibson llamada inSpectre para comprobación de vulnerabilidades Meltdown/Spectre sobre Windows:Microsoft publicó este miércoles una actualización de emergencia para Windows que se instalará automáticamente si usas Windows 10 y que puedes descargar de forma manual desde el menú de configuración de Windows 7 y Windows 8. Sin embargo, el parche podría entrar en conflicto con tu antivirus si este no actualiza antes una clave de registro específica.
Key="HKEY_LOCAL_MACHINE"Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat"Value Name="cadca5fe-87d3-4b96-b7fb-a231484277cc"Type="REG_DWORD”Data="0x00000000”
Para solventar el problema, Microsoft recomienda que contactes con el desarrollador de tu antivirus o uses Microsoft Security Essentials, la suite de seguridad gratuita de la propia Microsoft.
- https://support.microsoft.com/en-us/help/4056892/windows-10-update-kb4056892
- https://support.microsoft.com/en-us/help/4072699/important-information-regarding-the-windows-security-updates-released
Microsoft ha publicado un módulo para PowerShell
que permite realizar comprobaciones acerca del estado de nuestro equipo
respecto a las contramedidas. En la página enlazada podemos encontrar
más datos e instrucciones, pero los comandos a ejecutar son los
siguientes:
PS> Install-Module SpeculationControl PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser
GNU/Linux
La comunidad de desarrolladores de Linux ha estado rápida en actualizar el kernel del sistema operativo para enmendar la vulnerabilidad que afecta a los procesadores. La versión 4.15 del núcleo parchea el problema sin afectar demasiado al rendimiento de juego del sistema, y ya se encuentra en su fase rc6 (sexta release candidate). Se espera que aparezca en las grandes distribuciones del sistema operativo en los próximos días.En caso de Linux, podemos utilizar la herramienta spectre-meltdown-checker que podemos encontrar en GitHub, publicada por el usuario speed47. De forma muy similar al script de PowerShell anterior, nos avisa de si nuestro equipo es vulnerable a Spectre y Meltdown de forma simple.
Descargar y ejecutar el script es sencillo si habéis clonado proyectos de GitHub anteriormente. Por si acaso, los comandos a ejecutar son los siguientes:
git clone https://github.com/speed47/spectre-meltdown-checker.git cd spectre-meltdown-checker sudo sh spectre-meltdown-checker.sh
macOS y iOS
Aunque aún no hay información oficial por parte de la compañía, Apple ya habría mitigado el problema con la versión 10.13.2 de su sistema operativo. Además estaría trabajando en una nueva actualización más segura. Por ahora, la única solución conocida para proteger tu Mac es instalar macOS High Sierra y mantener el sistema actualizado. High Sierra es compatible con la mayor parte de los Mac de finales de 2009 en adelante.Android
Google anunció una nueva actualización de seguridad para Android que estará disponible este viernes 5 de enero y contará con nuevos mecanismos para mitigar un posible ataque que acceda a la memoria del kernel. Si tienes un teléfono de marca Google (como un Nexus 5X o un Pixel), podrás instalarla mañana mismo, de lo contrario dependerás del fabricante de tu teléfono y posiblemente de tu operador.Navegadores
Mozilla confirmó en su blog de seguridad que un ataque basado en JavaScript podría explotar los fallos de seguridad de Meltdown y Spectre, por lo que los navegadores también son vulnerables. La versión 57 de Firefox cambia la manera en que se comporta una función para mitigar el problema. Microsoft realizó algunos cambios similares en el comportamiento de Edge e Internet Explorer, que ya están disponibles con la última actualización de Windows de ayer.Firefox:
about:config?filter=privacy.firstparty.isolate
Y Google ha anunciado la disponibilidad de Chrome 64 el próximo 23 de enero, una versión que activará este tipo de mecanismos de seguridad por defecto (también puedes habilitarlo manualmente desde chrome://flags/#enable-site-per-process en tu versión actual de Chrome).
Chrome/Chromium:
chrome://flags/
#enable-site-per-process
Descubre si tu navegador es vulnerable a Spectre
Permite comprobar de forma rápida si nuestro navegador es susceptible de ser atacado mediante la fallo Spectre utilizando para ello código JavaScript:
En el ámbito de la infraestructura Cloud, donde los riesgos son igualmente enormes (imprevisibles, pero aparentemente son incluso más preocupantes) las empresas también están actuando
.En Azure han decidido adelantar sus mantenimientos programados, que se efectuarán durante esta madrugada (3:30 PM PST, 3 de enero de 2018). Amazon también ha publicado un comunicado en el que avisa de que la mayoría de las instancias de Amazon EC2 están protegidas (suponemos que hablan de Meltdown) y habrá más actualizaciones en el futuro.
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
Etiquetas:
actualizaciones
,
bug
,
cpu
,
fallo
,
hardware intel
,
Meltdown
,
parches
,
seguridad
,
Spectre
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.