Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
▼
2018
(Total:
150
)
-
▼
junio
(Total:
11
)
- Tarjetas SD Express: transferencias de 985 MB/s y ...
- Vulnerabilidad RAMpage: presente en Android desde ...
- Botnet explotando grave vulnerabilidad router D-Li...
- La Wi-Fi Alliance presenta WPA3 para proteger rede...
- App móvil oficial de la Liga LFP activa micrófono ...
- Vulnerabilidades críticas en Google Chrome y Adobe...
- "Accesos no autorizados" a los exámenes de Selecti...
- Servidor de control de una Botnet IoT utiliza cont...
- El reconocimiento facial todavía resulta impreciso...
- Microsoft confirma la compra de GitHub por 7.500 m...
- Contador automático de abejas con una Raspberry Pi
-
▼
junio
(Total:
11
)
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
237
)
manual
(
222
)
software
(
206
)
hardware
(
196
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Vulnerabilidades críticas en Google Chrome y Adobe Flash
lunes, 11 de junio de 2018
|
Publicado por
el-brujo
|
Editar entrada
Michal Bentkowski encontró un fallo de seguridad crítico
el pasado mes de mayo que afecta a todas las versiones de
escritorio de Google Chrome, tanto en Windows como Mac y Linux. El fallo en cuestión tiene
que ver con CSP, Content Security Policy (CVE-2018-6148),
y en caso de no actualizar el navegador web a la última versión –ya
disponible por la vía habitual- nos exponemos a diferentes ataques por
inyección de código malicioso.
El encabezado de la Política de Seguridad de Contenido (CSP) permite a los administradores de sitios web añadir una capa adicional de seguridad al permitirles controlar los recursos que el navegador puede cargar.
El encabezado Content Security Policy (CSP) es un mecanismo muy importante en materia de seguridad, ya que funciona como un filtro que habilita o bloquea la carga de contenidos ejecutados por extensiones o aplicaciones, con lo cual añade una capa de seguridad adicional ante posibles inyecciones de código malicioso.
El manejo incorrecto de estos encabezados por el navegador web podría volver a habilitar vulnerabilidades de tipo XSS, Clickjacking o de inyección de código en webs que securizaran su sitio con este encabezado.
Sin dar a conocer ningún detalle técnico, el equipo de seguridad de Chrome ha descrito el problema como un manejo incorrecto del encabezado CSP (CVE-2018-6148) en su blog. Google informó que los detalles del bug detectado no se harán públicos hasta que la mayoría de los usuarios haya instalado una actualización con la solución a la vulnerabilidad.
Con la última actualización de Google Chrome para ordenadores Windows, Mac y Linux, la compañía de Mountain View ha resuelto el problema. Esta actualización está distribuyéndose ya de forma automática, pero también se puede actualizar de forma manual.
De momento, la compañía de Mountain View ha aplicado restricciones sobre los encabezados CSP, pero lo más recomendable es actualizar el navegador con urgencia. No se han reconocido casos de ataques de este tipo, pero la vulnerabilidad se puede explotar con relativa facilidad.
La versión 67.0.3396.79 de Google Chrome está disponible y para actualizar el navegador simplemente hay que ir a la opción Help/Ayuda y luego About Google Chrome/Acerca de Google Chrome. Una vez aquí automáticamente el navegador buscará las actualizaciones disponibles.
Firefox también publicó su nueva versión del navegador web Firefox versión 60.0.2, que incluye soluciones de seguridad y corrección de errores. Por lo tanto, a los usuarios de la versión estable de Firefox también se les recomienda actualizar su navegador.
Nueva vulnerabilidad crítica (tampoco es ninguna novedad) descubierta con identificador CVE-2018-5002, que podría y está siendo ya explotada de manera activa.
Los atacantes han estado lanzando ataques vía e-mail usando hojas de cálculo de Microsoft Office Excel para descargar y ejecutar un exploit de Adobe Flash incrustado de forma remota en los computadores de las víctimas, que principalmente eran del Medio Oriente (y dados los enlaces maliciosos utilizados, se presume que el ataque esté dirigido particularmente a Doha, Qatar). De acuerdo con Qihoo 360 Core Security, los atacantes utilizaron el Flash zero-day para ataques contra objetivos en Medio Oriente. Se cree que un grupo de ciberespionaje respaldado por un estado-nación está detrás de los ataques.
Los atacantes entregaban archivos de Office a las víctimas que cargarían un archivo SWF malicioso desde un servidor remoto y lo ejecutarían dentro del documento de Office. La detección de ataques con este método son difícile de detecta porque el documento en sí mismo no contiene ningún código malicioso y todo el código malicioso se descarga en una segunda etapa.
Adobe ha lanzado una actualización de emergencia para abordar un agujero de seguridad crítico en su complemento de navegador Flash Player que se está explotando activamente para implementar software malicioso
Adobe Flash es un componente defectuoso e inseguro que, no obstante, se activa por defecto con Google Chrome e Internet Explorer. Lamentablemente el proyecto Flash Player no será finalizado hasta el año 2020.
Para las personas que todavía desen contar con Flash, existen medias tintas que funcionan casi igual de bien.
Afortunadamente, deshabilitar Flash en Chrome es bastante simple. Pega "chrome: // settings / content" en una barra del navegador Chrome y luego selecciona "Flash" en la lista de elementos
Impedir que los sitios web ejecuten flash o Preguntar Primero
De forma predeterminada, debe establecerse en "Preguntar primero" antes de ejecutar Flash, aunque los usuarios también pueden deshabilitar Flash por completo aquí o incluir en la lista blanca o en la lista negra sitios específicos.
De forma predeterminada, Mozilla Firefox en equipos con Windows instalado con Flash ejecuta Flash en un "modo protegido", que le solicita al usuario que decida si desea habilitar el complemento antes de que el contenido de Flash se ejecute en un sitio web.
.Los administradores tienen la capacidad de cambiar el comportamiento de Flash Player cuando se ejecuta en Internet Explorer en Windows 7 y versiones posteriores al solicitar al usuario antes de reproducir contenido Flash. Una guía sobre cómo hacer eso está aquí (PDF).
Los administradores también pueden considerar la implementación de la Vista protegida para Office. Vista protegida abre un archivo marcado como potencialmente inseguro en modo de solo lectura.
Fuentes:
https://unaaldia.hispasec.com/2018/06/vulnerabilidad-critica-en-chrome.html
https://blog.segu-info.com.ar/2018/06/actualiza-chrome-y-firefox-por.html
https://krebsonsecurity.com/2018/06/adobe-patches-zero-day-flash-flaw/
- Google publicó la versión 67.0.3396.79 de su navegador Chrome para Windows, Mac y Linux que incluye un parche contra una severa vulnerabilidad detectada en el manejo del CSP header.
Vulnerabilidad severa CSP en Google Chrome
El encabezado de la Política de Seguridad de Contenido (CSP) permite a los administradores de sitios web añadir una capa adicional de seguridad al permitirles controlar los recursos que el navegador puede cargar.
El encabezado Content Security Policy (CSP) es un mecanismo muy importante en materia de seguridad, ya que funciona como un filtro que habilita o bloquea la carga de contenidos ejecutados por extensiones o aplicaciones, con lo cual añade una capa de seguridad adicional ante posibles inyecciones de código malicioso.
El manejo incorrecto de estos encabezados por el navegador web podría volver a habilitar vulnerabilidades de tipo XSS, Clickjacking o de inyección de código en webs que securizaran su sitio con este encabezado.
Sin dar a conocer ningún detalle técnico, el equipo de seguridad de Chrome ha descrito el problema como un manejo incorrecto del encabezado CSP (CVE-2018-6148) en su blog. Google informó que los detalles del bug detectado no se harán públicos hasta que la mayoría de los usuarios haya instalado una actualización con la solución a la vulnerabilidad.
Con la última actualización de Google Chrome para ordenadores Windows, Mac y Linux, la compañía de Mountain View ha resuelto el problema. Esta actualización está distribuyéndose ya de forma automática, pero también se puede actualizar de forma manual.
De momento, la compañía de Mountain View ha aplicado restricciones sobre los encabezados CSP, pero lo más recomendable es actualizar el navegador con urgencia. No se han reconocido casos de ataques de este tipo, pero la vulnerabilidad se puede explotar con relativa facilidad.
La versión 67.0.3396.79 de Google Chrome está disponible y para actualizar el navegador simplemente hay que ir a la opción Help/Ayuda y luego About Google Chrome/Acerca de Google Chrome. Una vez aquí automáticamente el navegador buscará las actualizaciones disponibles.
chrome://settings/help
Firefox también publicó su nueva versión del navegador web Firefox versión 60.0.2, que incluye soluciones de seguridad y corrección de errores. Por lo tanto, a los usuarios de la versión estable de Firefox también se les recomienda actualizar su navegador.
0-day exploit Flash mediante ficheros Office Excel
Nueva vulnerabilidad crítica (tampoco es ninguna novedad) descubierta con identificador CVE-2018-5002, que podría y está siendo ya explotada de manera activa.
Los atacantes han estado lanzando ataques vía e-mail usando hojas de cálculo de Microsoft Office Excel para descargar y ejecutar un exploit de Adobe Flash incrustado de forma remota en los computadores de las víctimas, que principalmente eran del Medio Oriente (y dados los enlaces maliciosos utilizados, se presume que el ataque esté dirigido particularmente a Doha, Qatar). De acuerdo con Qihoo 360 Core Security, los atacantes utilizaron el Flash zero-day para ataques contra objetivos en Medio Oriente. Se cree que un grupo de ciberespionaje respaldado por un estado-nación está detrás de los ataques.
Los atacantes entregaban archivos de Office a las víctimas que cargarían un archivo SWF malicioso desde un servidor remoto y lo ejecutarían dentro del documento de Office. La detección de ataques con este método son difícile de detecta porque el documento en sí mismo no contiene ningún código malicioso y todo el código malicioso se descarga en una segunda etapa.
- http://blogs.360.cn/blog/cve-2018-5002-en/
- https://www.icebrg.io/blog/adobe-flash-zero-day-targeted-attack
Adobe ha lanzado una actualización de emergencia para abordar un agujero de seguridad crítico en su complemento de navegador Flash Player que se está explotando activamente para implementar software malicioso
Adobe Flash es un componente defectuoso e inseguro que, no obstante, se activa por defecto con Google Chrome e Internet Explorer. Lamentablemente el proyecto Flash Player no será finalizado hasta el año 2020.
Para las personas que todavía desen contar con Flash, existen medias tintas que funcionan casi igual de bien.
Afortunadamente, deshabilitar Flash en Chrome es bastante simple. Pega "chrome: // settings / content" en una barra del navegador Chrome y luego selecciona "Flash" en la lista de elementos
chrome://settings/content
Impedir que los sitios web ejecuten flash o Preguntar Primero
De forma predeterminada, debe establecerse en "Preguntar primero" antes de ejecutar Flash, aunque los usuarios también pueden deshabilitar Flash por completo aquí o incluir en la lista blanca o en la lista negra sitios específicos.
De forma predeterminada, Mozilla Firefox en equipos con Windows instalado con Flash ejecuta Flash en un "modo protegido", que le solicita al usuario que decida si desea habilitar el complemento antes de que el contenido de Flash se ejecute en un sitio web.
.Los administradores tienen la capacidad de cambiar el comportamiento de Flash Player cuando se ejecuta en Internet Explorer en Windows 7 y versiones posteriores al solicitar al usuario antes de reproducir contenido Flash. Una guía sobre cómo hacer eso está aquí (PDF).
Los administradores también pueden considerar la implementación de la Vista protegida para Office. Vista protegida abre un archivo marcado como potencialmente inseguro en modo de solo lectura.
- https://support.office.com/en-us/article/what-is-protected-view-d6f09ac7-e6b9-4495-8e43-2bbcdbcb6653
Fuentes:
https://unaaldia.hispasec.com/2018/06/vulnerabilidad-critica-en-chrome.html
https://blog.segu-info.com.ar/2018/06/actualiza-chrome-y-firefox-por.html
https://krebsonsecurity.com/2018/06/adobe-patches-zero-day-flash-flaw/
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.