Día del internet seguro

Celebrarlo con esta revisión de seguridad.

Anuncios

INSTALA ESTE PARCHE DE EMERGENCIA SI USAS EL ANTIVIRUS DE WINDOWS 10

12

Ha sido descubierta recientemente una vulnerabilidad en Windows Defender y Microsoft Security Essentials, la vulnerabilidad permite a un atacante tomar el control del PC y ejecutar programas o crear cuentas de administrador de Windows 10.

Microsoft ya ha lanzado un parche de seguridad.

El bug ha sido descubierto por en Centro de Ciberseguridad del Reino Unido, rápidamente fue comunicado a Microsoft.

Si usas alguno de estos programas lo único que tienes que hacer es ejecutarlo para que se actualice automáticamente con el parche de emergencia. De lo contrario tu Pc está expuesto a un gran peligro.

Janus

encapuchado-5

Android Flaw permite a los hackers inyectar malware en aplicaciones sin alterar las firmas digitales.

Millones de dispositivos Android corren un grave riesgo ante una nueva vulnerabilidad crítica que permite a los atacantes sobrescribir secretamente las aplicaciones legítimas instaladas en su teléfono móvil con sus versiones maliciosas.

La vulnerabilidad ha sido apodada Janus, permite a los atacantes modificar la propia aplicación sin cambiar las firmas digitales, por lo tanto es muy complicado saber que un atacante se está aprovechando de esta vulnerabilidad.

Dejo unos links con mucha información valiosa e interesante, están en inglés pero no hace un nivel alto de inglés para entender lo que dicen.

Primera página.

Segunda página.

Vulnerabilidad en el Login de MacOS High Sierra

Hace 15 horas fue descubierto un fallo de seguridad en High Sierra en el que si entrabas como usuario root y dejabas las password en blanco después de darle varias veces a Login este entraría automáticamente como usuario root.

Bien, esto ha sido confirmado hace 6 horas por Apple, os dejo este enlace en donde miles de personas están comentando el problema y discutiendo maneras de arreglarlo.

https://forums.developer.apple.com/thread/79235

El autor del KrackAttack Exploit nos da unas herramientas de código abierto para testear nuestras propias redes WI-FI

Este proyecto de GitHub contiene scripts con los que podréis testear vuestros APs y saber si están afectados por el KRACK de WPA2. Tenéis más detalles dentro del proyecto en GitHub.

Para poder usar estos Scripts será necesario que dispongáis del sistema operativo Kali Linux.

El error de 280M$ Ethereum.

El 6 de noviembre se “activó” una vulnerabilidad de seguridad crítica en la billetera multi-sig de Parity: carteras paralizantes creadas después del 20 de julio.

Parity emitió un aviso de seguridad ayer para informar a su usuario sobre un error que se activó “accidentalmente” y que resultó en la congelación de ETH por valor de más de $ 280M, incluidos $ 90M pertenecientes al desarrollador principal anterior de Founder & Ethereum de Parity: Gavin Woods.

Un usuario llamado devops199 afirmó que activó el error “accidentalmente” y lo informó a través de un ticket de GitHub.

El contrato recientemente implementado, 0x863df6bfa4469f3ead0be8f9f2aae51c91a907b4, contiene una vulnerabilidad en la que su propietario no se inicializó. A pesar de que el contrato es una biblioteca, devops199 pudo convertirlo en una billetera multi-sig normal, ya que para Ethereum no existe una distinción real entre cuentas, bibliotecas y contratos.
El evento ocurrió en dos transacciones, una primera para hacerse cargo de la biblioteca y una segunda para matar a la biblioteca, que fue utilizada por todas las billeteras multiestráceas creadas después del 20 de julio.