Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Heartbleed lleva a descubrir más errores
Más agujeros de seguridad se han descubierto en el mismo software donde se encontró el peligroso error "Heartbleed".
Heartbleed se encontró en un software de seguridad utilizado en muchos sitios web para asegurar que los datos no fueran espiados al transmitirse de ida y de regreso entre el cliente y un servidor web.
Se ha estimado que más de 500 mil sitios web resultaban vulnerables a los ataques que explotan Heartbleed. Los recién descubiertos errores no se consideran tan serios como Heartbleed y son más difíciles de explotar.
El paquete de software que alberga todas las vulnerabilidades se conoce como OpenSSL y se utiliza para codificar o cifrar los datos durante el intercambio entre los usuarios y un sitio.Compañías tecnológicas como Google, Facebook, Yahoo y Amazon, entre otros, utilizan OpenSSL.
El nuevo lote de vulnerabilidades se encontró como resultado del trabajo realizado para terminar con Heartbleed y garantizar que otras secciones del software fueran seguras. El descubrimiento de Heartbleed llevó a muchas grandes empresas a contribuir con aportaciones en efectivo para la pequeña organización que desarrolló OpenSSL, para ayudarle a mejorar sus esfuerzos por encontrar fallas y corregirlas.
Las versiones actualizadas de OpenSSL que tienen los errores corregidos ya están disponibles y se espera que cualquier persona que siga utilizando las versiones vulnerables pueda actualizarlas tan pronto como sea posible.
"Van a tener que instalar el parche. Esto tomará algún tiempo", dijo Lee Weiner a Reuters, un portavoz de la firma de seguridad Rapid7.
Si se explotaran los errores, permitirían a los atacantes ejecutar sus propios programas en un servidor objetivo o provocar que éste deje de funcionar. El fallo más grave permitiría que un atacante se interpusiera entre la víctima y el servidor que estaba utilizando y espiar los datos a medida que son enviados y recibidos.
En el blog de la firma de seguridad Sophos, Chester Wisniewski escribió que no hay necesidad de entrar en pánico por los últimos informes de errores.
"Actualiza a tiempo y continuamente", dijo. "Probablemente vean actualizarse muchos de los programas en sus computadoras y teléfonos inteligentes con Android, en las próximas semanas".
