Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
OpenSSL listo para reparar severos problemas de seguridad
El equipo encargado del proyecto OpenSSL se dice estar preparado para liberar diversos parches, incluyendo uno en el que se soluciona un grave problema para el software OpenSource OpenSSL en el transcurso de esta semana.
Una publicación de Matt Caswell, parte del Proyecto de OpenSSL, no mencionó más que el anuncio de las versiones de OpenSSL 1.0.2a, 1.0.1m, 1.0.0r y 0.9.8zf.
Matt Caswell agregó que los lanzamientos estarán disponibles el 19 de marzo, los cuales solucionarán una gran cantidad de defectos; uno de ellos es considerador de alto impacto.
Debido a la popularidad de las implementaciones de los protocolos de seguridad SSL y TLS, los administradores dicen estar impacientes por conocer más a detalle de los diversos problemas de seguridad que requieren de atención.
Esperan que no sea algo tan aterrador como el famoso "Heartbleed bug" descubierto en el mes de abril de 2014. La vulnerabilidad de Heartbleed permitía a un atacante robar las llaves de cifrado que usan los servidores y clientes (software) que hacían uso de OpenSSL para cifrar su comunicación, logrando decifrar la comunicación que se tenía en ambos extremos.
En ese mismo año, pero en el mes de junio, una vulnerabilidad del tipo Man In The Middle (MITM) fue descubierta y solucionada en el mes de octubre por el equipo de OpenSSL, obligando a instalar un parche para solucionar la vulnerabilidad conocida como"POODLE".
La vulnerabilidad "Poodle" funciona de tal forma que un atacante puede forzar el uso de una versión obsoleta de SSL para poder robar las cookies de una sesión, permitiéndoles tener acceso a cuentas de las víctimas, a esta práctica se le conoce como hijacking.
El pasado lunes, un grupo de consultores anunció una brigada para la auditoría de forma independiente para el proyecto de OpenSSL, en un intento de mejorar la seguridad y estabilidad del software.
La decisión siguió de una reestructuración en el pensamiento, de manera que se busca suprimir malas particularidades de su idiosincrasia y hacer de OpenSSL una herramienta "más sencilla para trabajar en un futuro", según Caswell.
Es tal la importancia del proyecto de OpenSSL en el campo de la seguridad web que empresas como Adobe, Cisco IBM y Amazon Web Services tienen el respaldo de la iniciativa Linux Foundation.
El objetivo es el de financiar proyectos importantes, como el de la auditoría de OpenSSL, que "son una parte fundamental para el proceso de funciones computacionales".
