Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Vulnerabilidades críticas en Google Chrome y Adobe Flash




Michal Bentkowski encontró un fallo de seguridad crítico el pasado mes de mayo que afecta a todas las versiones de escritorio de Google Chrome, tanto en Windows como Mac y Linux. El fallo en cuestión tiene que ver con CSP, Content Security Policy (CVE-2018-6148), y en caso de no actualizar el navegador web a la última versión –ya disponible por la vía habitual- nos exponemos a diferentes ataques por inyección de código malicioso.




  • Google publicó la versión 67.0.3396.79 de su navegador Chrome para Windows, Mac y Linux que incluye un parche contra una severa vulnerabilidad detectada en el manejo del CSP header.

Vulnerabilidad severa CSP en Google Chrome


El encabezado de la Política de Seguridad de Contenido (CSP) permite a los administradores de sitios web añadir una capa adicional de seguridad al permitirles controlar los recursos que el navegador puede cargar.

El encabezado Content Security Policy (CSP) es un mecanismo muy importante en materia de seguridad, ya que funciona como un filtro que habilita o bloquea la carga de contenidos ejecutados por extensiones o aplicaciones, con lo cual añade una capa de seguridad adicional ante posibles inyecciones de código malicioso.

El manejo incorrecto de estos encabezados por el navegador web podría volver a habilitar vulnerabilidades de tipo XSS, Clickjacking o de inyección de código en webs que securizaran su sitio con este encabezado.

Sin dar a conocer ningún detalle técnico, el equipo de seguridad de Chrome ha descrito el problema como un manejo incorrecto del encabezado CSP (CVE-2018-6148) en su blog.  Google informó que los detalles del bug detectado no se harán públicos hasta que la mayoría de los usuarios haya instalado una actualización con la solución a la vulnerabilidad.

Con la última actualización de Google Chrome para ordenadores Windows, Mac y Linux, la compañía de Mountain View ha resuelto el problema. Esta actualización está distribuyéndose ya de forma automática, pero también se puede actualizar de forma manual.

De momento, la compañía de Mountain View ha aplicado restricciones sobre los encabezados CSP, pero lo más recomendable es actualizar el navegador con urgencia. No se han reconocido casos de ataques de este tipo, pero la vulnerabilidad se puede explotar con relativa facilidad.



La versión 67.0.3396.79 de Google Chrome está disponible y para actualizar el navegador simplemente hay que ir a la opción Help/Ayuda y luego About Google Chrome/Acerca de Google Chrome. Una vez aquí automáticamente el navegador buscará las actualizaciones disponibles.


chrome://settings/help


Firefox también publicó su nueva versión del navegador web Firefox versión 60.0.2, que incluye soluciones de seguridad y corrección de errores. Por lo tanto, a los usuarios de la versión estable de Firefox también se les recomienda actualizar su navegador.


0-day exploit Flash mediante ficheros Office Excel


Nueva vulnerabilidad crítica (tampoco es ninguna novedad) descubierta con identificador CVE-2018-5002, que podría y está siendo ya explotada de manera activa.




Los atacantes han estado lanzando ataques vía e-mail usando hojas de cálculo de Microsoft Office Excel para descargar y ejecutar un exploit de Adobe Flash incrustado de forma remota en los computadores de las víctimas, que principalmente eran del Medio Oriente (y dados los enlaces maliciosos utilizados, se presume que el ataque esté dirigido particularmente a Doha, Qatar). De acuerdo con Qihoo 360 Core Security, los atacantes utilizaron el Flash zero-day para ataques contra objetivos en Medio Oriente. Se cree que un grupo de ciberespionaje respaldado por un estado-nación está detrás de los ataques.

Los atacantes entregaban archivos de Office a las víctimas que cargarían un archivo SWF malicioso desde un servidor remoto y lo ejecutarían dentro del documento de Office. La detección de ataques con este método son difícile de detecta porque el documento en sí mismo no contiene ningún código malicioso y todo el código malicioso se descarga en una segunda etapa.


Adobe ha lanzado una actualización de emergencia para abordar un agujero de seguridad crítico en su complemento de navegador Flash Player que se está explotando activamente para implementar software malicioso


Adobe Flash es  un componente defectuoso e inseguro que, no obstante, se activa por defecto con Google Chrome e Internet Explorer. Lamentablemente el proyecto Flash Player no será finalizado hasta el año 2020.




Para las personas que todavía desen contar con Flash, existen medias tintas que funcionan casi igual de bien. 

Afortunadamente, deshabilitar Flash en Chrome es bastante simple. Pega "chrome: // settings / content" en una barra del navegador Chrome y luego selecciona "Flash" en la lista de elementos

chrome://settings/content

Impedir que los sitios web ejecuten flash o Preguntar Primero

De forma predeterminada, debe establecerse en "Preguntar primero" antes de ejecutar Flash, aunque los usuarios también pueden deshabilitar Flash por completo aquí o incluir en la lista blanca o en la lista negra sitios específicos.


De forma predeterminada, Mozilla Firefox en equipos con Windows instalado con Flash ejecuta Flash en un "modo protegido", que le solicita al usuario que decida si desea habilitar el complemento antes de que el contenido de Flash se ejecute en un sitio web.




.Los administradores tienen la capacidad de cambiar el comportamiento de Flash Player cuando se ejecuta en Internet Explorer en Windows 7 y versiones posteriores al solicitar al usuario antes de reproducir contenido Flash. Una guía sobre cómo hacer eso está aquí (PDF). 

Los administradores también pueden considerar la implementación de la Vista protegida para Office. Vista protegida abre un archivo marcado como potencialmente inseguro en modo de solo lectura.



Fuentes:
https://unaaldia.hispasec.com/2018/06/vulnerabilidad-critica-en-chrome.html 
https://blog.segu-info.com.ar/2018/06/actualiza-chrome-y-firefox-por.html
https://krebsonsecurity.com/2018/06/adobe-patches-zero-day-flash-flaw/

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.