Seguridad informática

Google publica Chrome 43 y corrige 37 vulnerabilidades

Image courtesy of Stuart Miles at FreeDigitalPhotos.net

Image courtesy of Stuart Miles at FreeDigitalPhotos.net

Google anuncia una nueva versión de su navegador Google Chrome 43. Se publica la versión 43.0.2357.65 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 37 nuevas vulnerabilidades.

Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. En esta ocasión, aunque se han solucionado 37 nuevas vulnerabilidades, solo se facilita información de 14 de ellas (seis de gravedad alta, seis clasificados como media y dos de nivel bajo).

Escape de la Sandbox en Chrome. También se solucionan vulnerabilidades por uso después de liberar memoria en WebAudio, SVG, Speech y WebRTC. Salto de políticas de orígenes cruzados en DOM y en Editing. Desbordamiento del contenedor en SVG. Parámetro de tamaño negativo en Libvpx. Valor sin inicializar en PDFium. Falsificación de la barra de direcciones. Un valor sin inicializar en Blink. Descarga insegura del diccionario del corrector ortográfico y un Cross-site scripting en los marcadores. Los CVE asignados van del CVE-2015-1251 al CVE-2015-1264.

También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2015-1265). Así como múltiples vulnerabilidades en V8 en la rama de 4.3 (actualmente 4.3.61.21).

Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 38.337 dólares en recompensas a los descubridores de los problemas.

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de “Información sobre Google Chrome” (chrome://chrome/).

Fuente: Hispasec
Autor: Antonio Ropero
Publicación realizada con autorización de la fuente


CERTs: 30 vulnerabilidades más reportadas

Image Courtesy of Stuart Miles at FreeDigitalPhotos

Sistemas Afectados

Todos aquellos sin parches de actualización de Adobe, Microsoft, Oracle, or OpenSSL.

Alcance

Los cibercriminales continúan explotando vulnerabilidades detectadas en programas de cómputo que no han sido actualizados con los parches de seguridad correspondientes, esto con la finalidad de realizar atques contra infraestructura crítica de organizaciones.

Por lo menos el 85% de estos ataques pueden ser prevenidos [1](link is external).

Esta alerta provee información de las 30 vulnerabilidades mas utilizadas para realizar esto ataques, acompañada de recomendaciones de prevención y mitigación de los riesgos.

La información está basada en un análisis completado por el Canadian Cyber Incident Response Centre (CCIRC, Centro Canadiense de Respuesta a Ciberincidentes) y desarrollado en colaboración con otros CERTs de Canadá, Nueva Zelanda, Reino Unido y el Centro de Ciberseguridad de Australia.

Impacto

Una intrusión exitosa en la red puede provocar impactos serios, particularmente si aquello que sea comprometido se hace público y a su vez, es expuesta información sensible. Los posibles daños incluyen:

  • Perdida temporal o permanente de información sensible o propietaria
  • Interrupción de operaciones,
  • Perdidas financieras relacionada con los costos de reestablecer sistemas y archivos, y
  • Daño potencial y reputacional a la organización

Solución

  • Actualización al día de software
  • Establecer procesos robustos para la aplicación de parches

(continua leyendo…)


Entrevista a CERT UNAM

En esta semana realizamos una entrevista al Coordinador de Seguridad de la Información en la UNAM, el Ing. Rubén Aquino, quien nos compartió su perspectiva con respecto a la importancia de la seguridad informática; nos comenta como las Tecnologías de la Información han influido en cuanto a beneficios y riesgos y cómo ésta seguirá influyendo en la actualidad y futuro.

El objetivo de esta plática está orientado a fomentar el interés en estos tópicos y, en su caso, a que aquellos jóvenes interesados en el tema, entiendan el por qué y en qué consiste el Programa de Formación en Tecnologías de Información y Comunicación, con especialización en seguridad informática.

Rubén, nos comparte su perspectiva atendiendo a las siguientes preguntas:

  1. ¿Por qué dedicarse a la seguridad informática?
  2. ¿Cuáles son los beneficios para un becario?
  3. ¿Cuáles han sido los destinos laborales de los becarios?
  4. ¿Qué hace el CERT de la UNAM?

 

¿Por qué dedicarse a la seguridad informática?
Es un área apasionante de tecnologías de la información, cuya relevancia ha crecido en los años recientes y seguirá creciendo en el futuro. Seguridad es actualmente un tema transversal para las organizaciones en cuanto al manejo de la información en cualquier forma y especialmente en lo que se refiere a tecnologías de la información. Es un tema relevante también para (continua leyendo…)


Flex, mas vale recompilar

Image courtesy of Mack2Happy at FreeDigitalPhotos.net

Image courtesy of Mack2Happy at FreeDigitalPhotos.net

Según un reciente informe muchas aplicaciones Flex siguen siendo vulnerables a una vulnerabilidad de hace tres años, independientemente estaba actualización del reproductor Flash.

Flex es un SDK (software development kit) para el desarrollo de aplicaciones RIA (Rich Internet Application o “aplicaciones de Internet enriquecidas”) basadas en la plataforma Adobe Flash. Flex, aunque en la actualidad es un proyecto Open Source de Apache (Apache Flex), hasta el 2011 era un producto de Adobe (Adobe Flex), que fue donado a la Apache Software Foundation.

Los investigadores Luca Carettoni (de LinkedIn) y Mauro Gentile (de Minded Security) han descubierto que muchas aplicaciones Flex publicadas en Internet en la actualidad siguen siendo vulnerables a una vulnerabilidad del 2011. El problema (con CVE-2011-2461), fue parcheado por Adobe en su momento, a través de la actualización apsb11-25 que también fue comentada por Hispasec en una-al-dia. El fallo podría permitir a un atacante evitar la política de mismo origen y realizar ataques de Cross-Site Request Forgery.

Aunque el fallo fue corregido en su momento por Adobe, no bastaba con actualizar Flex. Tal y como explicaba el aviso de Adobe, todos los archivos compilados con alguna versión vulnerable de Flex necesitaban ser recompilados (o parcheados) con una versión actualizada para evitar la vulnerabilidad. Si el archivo SWF está compilado con una versión vulnerable de Flex SDK, un atacante podrá utilizar esta vulnerabilidad ante los últimos navegadores web y Flash actualizados.

Durante los meses de octubre y diciembre de 2014, los investigadores analizaron múltiples dominios buscando SWFs vulnerables. (continua leyendo…)


Las contraseñas con mayor vulnerabilidad

 Image courtesy of Hywards at FreeDigitalPhotos.net

Image courtesy of Hywards at FreeDigitalPhotos.net

Este 20 de Enero de 2015 “Splashdata” proveedor líder de aplicaciones de gestión de contraseñas, emitió un comunicado sobre las peores contraseñas en el año 2014, revelando así que la típica contraseña denominada como “123456” se posiciona en el primer lugar de esta lista, seguida por “Password” como la segunda peor contraseña creada por los usuarios en el Internet. Mencionado estudio se llevó a cabo principalmente en América del norte y Europa Occidental.

Los usuarios hasta el momento siguen utilizando contraseñas con números consecutivos en el teclado, nombres de deportes o personajes de caricatura, sin que se les sea agregado un carácter extra para su mayor seguridad.

No se deben utilizar contraseñas basadas en los nombres de aplicaciones o los sitios web que se están visitando, así como en las fechas de cumpleaños o nombres propios.

Splashdata señala que se identificó que las contraseñas expuestas en los listados de años anteriores se siguen utilizando actualmente, sin embargo si ha disminuido el número de personas que las siguen manejando.

La empresa pretende realizar conciencia en los usuarios sobre los riesgos que conlleva el seguir utilizando y creando las mencionadas contraseñas.

El listado de “Las Peores Contraseñas del 2014” es: (continua leyendo…)




Medidas Básicas de seguridad de la información en tu empresa

 

Image courtesy of Stuart Miles/ FreeDigitalPhotos.net

Image courtesy of Stuart Miles/ FreeDigitalPhotos.net

Muchas veces realizamos acciones diarias en el ámbito laboral sin darnos cuenta del riesgo que estamos otorgándole a la información de la empresa, cuántas veces se nos hace fácil insertar una USB personal a la computadora de la empresa y llevárnosla a casa con la información sin fines de lucro.

¿Que pasaría si el día de mañana tienes una reunión con un cliente de mayor relevancia,  por lo que te llevaste a tu casa la información a entregar sin embargo se suscita un extravío de la misma?

Los altos mandos de todas las empresas deberían realizar conciencia ante sus empleados sobre la seguridad de la información, ya que muchas de ellas cuentan con  herramientas tecnológicas sin embargo no las explotan al 100% para asegurar su información o, simplemente argumentan la existencia de la confianza laboral sin implementación de medidas.

Todo esto puede solucionarse de distintas formas desde las más sencillas hasta las más costosas pero con un alto nivel de integridad.

Las vulnerabilidades y riesgos siempre van estar en cualquier momento, nunca se podrán eliminar, cualquier empleado de tu empresa podría llevarse información sensitiva  mediante su Smartphone, USB, correo electrónico, memorias SD, fotografías, videos, etc. sin embargo se puede mitigar el riesgo.

Recomendaciones:

  • Implementar políticas que restrinjan el acceso a información confidencial
  • Implementar políticas que restrinjan o controlen el acceso de dispositivos de almacenamiento
  • Instrumentación legal
  • Realizar constantemente auditorías internas que permitan conocer las acciones que se están llevando a cabo al respecto.
  • Mantenerse en constante comunicación con los empleados informándoles acerca de la importancia del tema
  • Implementar sanciones laborales
  • Herramientas tecnológicas que permitan el monitoreo constante de la entrada y salida de información.
  • Estrategia corporativa para incidentes

Efectivamente son soluciones generalizadas sin embargo, se debe realizar conciencia y buscar áreas de oportunidad para evitar la fuga de información sensitiva de la empresa.

Analice si en su empresa ha implementado alguna estrategia de seguridad, sino reflexione y admita que está en riesgo.


Derecho Informático - IT Lawyers. Siempre solicite la autorización del autor para reproducir los contenidos de este blog.
iDream theme by Templates Next | Powered by WordPress