Globedia.com

×
×

Error de autenticación

Ha habido un problema a la hora de conectarse a la red social. Por favor intentalo de nuevo

Si el problema persiste, nos lo puedes decir AQUÍ

×
cross

Suscribete para recibir las noticias más relevantes

×
Recibir alertas

¿Quieres recibir una notificación por email cada vez que Mejor Antivirus escriba una noticia?

Nueva vulnerabilidad en OpenSSL - Tomad medidas rápido!

11/06/2014 20:20 0 Comentarios Lectura: ( palabras)

image

Suponemos que todos recordáis la terrible amenaza que ha supuesto Heartbleed recientemente. Aquí publicamos varias entradas y, entre otras cosas, os urgíamos a cambiar las contraseñas y revisar vuestros ajustes de privacidad. Una amenaza que afectó a cientos de miles de webs, y que también puso en riesgo millones de dispositivos Android.

Pues hace escasos días se ha descubierto un nuevo problema de seguridad en OpenSSL.

El equipo reponsable de la librería ha lanzado un aviso de seguridad , detallando 6 nuevas vulnerabilidades en la librería criptográfica Open Source, que es la más utilizada en la red.

Amenazas que requieren acciones urgentes

Hablamos de un problema grave, que podría derivar en un ataque man-in-the-middle , mediante la escucha de conexiones encriptadas. También podría permitir la ejecución de código malicioso en sistemas vulnerables.

La buena, buenísima noticia, es que ya hay parche esperando a ser instalado. Aparentemente, dificulta en gran medida tomar ventaja de este problema a un atacante.

image

Algo que causa cierta sorpresa es que estas vulnerabilidades hayan permanecido latentes durante 10 años sin ser detectadas. Hablamos de una librería Open Source, que puede ser auditada por cualquier persona con conocimientos. Siendo una librería open source inspira más confianza que una librería propietaria, pero parece ser que nadie, hasta ahora, había revisado en detalle el código.

Vulnerabilidad SSL/TLS MITM (CVE-2014-0224)

Con este nombre se ha bautizado a la amenaza que supondría el MITM. Ha sido descubierta por el investigador de seguridad Masashi Kikuchi , de origen japonés.

Parte de la descripción del fallo dice lo siguiente:

"Un atacante que utilice un handshake cuidadosamente modificado, podría forzar el uso del material de claves vulenrable en clientes OpenSSL/TLS y servidores. Esto puede ser explotado por un ataque Man-in-the-middle, donde el atacante puede desencriptar y modificar tráfico desde el cliente y servidor atacados".

El ataque solo puede ser llevado a cabo entre un cliente y servidor vulnerables. Los clientes de OpenSSL son vulnerables en todas sus versiones. Por su parte, los servidores solo serían vulnerables en versiones OpenSSL 1.0.1 y 1.0.2-beta1. Los usuarios de OpenSSL en versión anterior a 1.0.1 deberían actualizar a una versión reciente como precaución.

  • Usuarios de OpenSSL 0.9.8 SSL/TLS (client and/or server) deberán actualizar a 0.9.8za.
  • Usuarios de OpenSSL 1.0.0 SSL/TLS (client and/or server) deberán actualizar a 1.0.0m.
  • Usuarios de OpenSSL 1.0.1 SSL/TLS (client and/or server) deberán actualizar a 1.0.1h."

Afortunadamente, los navegadores web populares, como Internet Explorer, Firefox, Chrome y Safari no utilizan OpenSSL, algo que reduce enormemente el alcance de la infección.

Más información en el OpenSSL security advisory .


Sobre esta noticia

Autor:
Mejor Antivirus (323 noticias)
Fuente:
mejor-antivirus.es
Visitas:
1677
Tipo:
Reportaje
Licencia:
Creative Commons License
¿Problemas con esta noticia?
×
Denunciar esta noticia por

Denunciar

Comentarios

Aún no hay comentarios en esta noticia.