El agujero en Linux GHOST afecta a WordPress y PHP

Investigadores de seguridad han descubierto que el agujero en Linux GHOST, también afecta a apps PHP, incluyendo el Sistema de Gestión de Contenidos WordPress, utilizado en millones de sitios web.

GHOST es el acrónimo de “Glibc Gethostbyname Buffer Overflow”, un agujero crítico de Linux que afecta al GNU C Library (glibc) y permite a un atacante tomar el control de los sistemas sin conocer usuario o contraseña.

Continue reading

Project Zero, la solución de Google para las empresas con vulnerabilidades

Google ha estrenado, Project Zero, un ambicioso proyecto que incluye a un equipo de especialistas en seguridad que trabajarán para localizar vulnerabilidades en software de terceros. Cuando los investigadores de Project Zero detecten problemas avisarán a los desarrolladores y las vulnerabilidades que vayan encontrándose serán publicadas en una base de datos externa.

Además se dispondrá de un programa de recompensas, abierto a investigadores externos que descubran problemas en algún software de terceros, del mismo modo que el programa actual de recompensas para Android, llamado Patch Reward Program

Continue reading

Vulnerabilidad de Google permite a cualquier dar órdenes a sus servidores

Investigadores de Detectify han detectado un fallo de seguridad relacionado con Google Toolbar (la barra de herramientas de Google) gracias al cual cualquier puede dar órdenes a los servidores del buscador.

Los usuarios de Google Toolbar, pueden personalizar los botones que desean y para ello tan solo es necesario un archivo XML. Al parecer,  gracias a este archivo, cualquiera puede introducir órdenes para que los servidores de Google las ejecuten. Se supone que Google solo lee estos archivos, pero sorprendentemente también ejecuta las acciones que en él aparecen.

Continue reading

Más de 1300 apps de Android afectadas por Heartbleed

heartbleed

Tras analizar  casi 400.000 aplicaciones alojadas en la Google Play Store para comprobar si Heartbleed afectaba a estas aplicaciones Android,  la empresa Tred Micro asegura que aproximadamente 1300 de estas aplicaciones son vulnerables al bug.

“Las aplicaciones móviles, nos guste o no, son tan vulnerables a Heartbleed como lo son las páginas web (además de las aplicaciones de navegador móvil, de compra online, banca o apps de licitación). Esto se debe al hecho de que la mayoría de las apps ofrecen la posibilidad de comprar desde la aplicación, pues es una forma segura de conseguir más víctimas con esta vulnerabilidad“, explica Veo Zhang, un especialista en amenazas móviles.

Continue reading

Seguridad: Heartbleed, el gran error en OpenSSL

Investigadores de Google y de la empresa de seguridad Codenomicon, han descubierto un fallo de seguridad, que permite capturar y desencriptar nombres de usuario y contraseñas: Heartbleed.

Procede de un error de implementación de la función Heartbeat de OpenSSL  y su gravedad radica en que se trata de un bug que permite comprometer los datos y las comunicaciones de los usuarios de sitios web, correo electrónico, aplicaciones de mensajería instantánea o redes virtuales privadas.

Continue reading