Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Fallo en Intel Crosswalk invalida protección SSL
Un error en la biblioteca del proyecto Intel Crosswalk para la plataforma de desarrollo móvil puede exponer a los usuarios ante ataques hombre en el medio, este hallazgo fue encontrado por los investigadores de Nightwatch Cybersecurity.
"Cuando un usuario realiza una solicitud de red, una aplicación que usa el proyecto Crosswalk muestra un mensaje de error inicial si no se encuentra un certificado SSL válido. Si el usuario selecciona "OK", la aplicación a continuación acepta todos los futuros certificados SSL sin validación", explicó el Centro de Coordinación del Equipo de Respuesta ante Emergencias Informáticas (CERT/CC) de la Universidad de Carnegie Mello.
"La aplicación no deja en claro que las futuras transmisiones tendrán permiso permanente para aceptar certificados no válidos; al usuario nunca se le piden de nuevo los permisos".
Los investigadores descubrieron la falla mientras se probaba una aplicación de terceros para Android mediante esta biblioteca. Ellos reportaron a Intel lo que encontraron para que se pueda obtener un parche antes de que sea descubierto y explotado por alguien con intenciones maliciosas.
Se aconseja a los desarrolladores de aplicaciones reconstruirlas utilizando las últimas versiones del Crosswalk: 19.49.514.5 (stable), 20.50.533.11 y 21.51.546.0 (beta), 22.51.549.0 (canary). Los usuarios de aplicaciones basadas en el framework Crosswalk se les recomienda estar al pendiente de las actualizaciones que solucionan el problema. Es importante motivar a los desarrolladores que no lo hayan hecho, a realizar la actualización tan pronto como sea posible.
