Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Actualización de OpenSSL para vulnerabilidad de alta severidad
OpenSSL está planeando actualizar dos versiones de su software esta semana para arreglar un par de vulnerabilidades.
La actualización a las versiones 1.0.2f y 1.0.1r arreglará dos defectos de seguridad. Uno de ellos es una vulnerabilidad de alta gravedad que afecta al lanzamiento 1.0.2 y el otro es catalogado como bajo y afecta a todas las versiones.
OpenSSL no dio detalles específicos acerca de los problemas, pero su política de seguridad señala que la designación de "alta intensidad" significa que la vulnerabilidad es peligrosa, pero no es tan peligrosa como las vulnerabilidades "críticas", aquellas que afectan a las configuraciones comunes, son fáciles de explotar y abiertas a ataques remotos.
OpenSSL es un estándar de seguridad que cifra las comunicaciones entre los usuarios y los servidores proporcionados por la mayoría de los servicios en línea. Debido a que es un componente básico de una amplia franja de la web que afecta a diversas aplicaciones y sistemas, e incluso dispositivos embebidos, es muy importante prestar atención a cualquier falla de seguridad. Su ubicuidad es una de las razones por las cuales la falla Heartbleed tomó meses y meses para reparar, incluso después de que se publicara una actualización.
Después de la falla Heartbleed en OpenSSL, la cual dejó a gran parte de la web vulnerable a robo de información, el grupo de código abierto ha sido diligente revisando su codificación y actualizaciones.
El enfoque conciso al explicar los temas en cuestión esta semana es típico, OpenSSL ha actualizado algunos de estos errores misteriosos los último años. También ha publicado actualizaciones para solucionar vulnerabilidades de SSL generales, como FREAK del año pasado, lo que permitió a los hackers llevar a cabo un ataque de hombre en medio (MitM) al pasar tráfico entre dispositivos Android o Apple y potencilamente millones de sitios web para degradar el cifrado a un manipulable de 512 bits.
OpenSSL recientemente llegó al final de su vida en las versiones 0.9.8 y 1.0.0, en diciembre, mientras que las versiones 1.0.1 y 1.0.2 recibirán soporte de seguridad hasta 2016 y 2019 respectivamente. Los administradores deben actualizar, por supuesto, tan pronto como se libere el parche.
