Webinar Seguridad Digital
Un nuevo crítico la falla en SSL, o la capa de sockets seguros utilizada para proteger el tráfico web para la banca en línea, las compras y cualquier otra conexión https, permite a un atacante romper cualquier conexión teóricamente segura y agregar comandos maliciosos.
Aprovechar la falla requiere acceder al tráfico de red específico entre un cliente, como un navegador web y un servidor web u otro. Eso significa que la mayoría de los usuarios domésticos probablemente no sean específicamente atacados por uno de estos ataques potenciales de hombre en el medio, según el descubridor Marsh Ray, un investigador de seguridad de PhoneFactor, que proporciona soluciones de autenticación de dos factores basadas en teléfono.
Sin embargo, las empresas y las organizaciones son probablemente objetivos. Por Ray, cualquier tráfico protegido por SSL podría ser potencialmente vulnerable, ya sea para un sitio https, comunicaciones de bases de datos protegidas o una conexión segura de correo electrónico. El problema no permite desencriptar y robar datos cifrados con SSL directamente, sino que permite REPLACEar cualquier comando en la secuencia de comunicaciones.
[Lectura adicional: cómo eliminar el malware de su PC con Windows]Eso sería lo suficientemente malo para el tráfico https, donde se podría hacer que un navegador web de la víctima publique datos en un sitio controlado por un atacante. Y podría ser devastador para un servidor de base de datos.
Ray dice que PhoneFactor encontró originalmente el error en agosto mientras realizaba pruebas de seguridad internas y lo mantuvo en silencio mientras los proveedores afectados y los grupos de software trabajaban en una solución. Pero mientras tanto, un investigador independiente también descubrió que el fallo y la noticia se rompieron.
Los parches están en proceso, pero aún no están disponibles. El arreglo actualmente propuesto requerirá el parcheo de todas las aplicaciones cliente y servidor, incluyendo navegadores web, programas de correo electrónico y cualquier otro programa que use bibliotecas SSL, según Ray.
La publicación de PhoneFactor sobre el problema está en el sitio de la compañía, y el investigador de seguridad llamado Chris Paget ha publicado sus pensamientos sobre el tema (desplácese hacia abajo para ver los comentarios para ver un vaivén entre Ray y Paget). El servicio de noticias IDG también tiene una buena historia sobre el tema.
A los 10 años, la fachada brillante de Google muestra grietas
Ahora que Google ha alcanzado su marca de 10 años, la empresa se enfrenta a complejidades y desafíos culturales.
Nuevas grietas de ataque Encriptación Wi-Fi común en un minuto
Investigadores japoneses han desarrollado una forma de descifrar el cifrado WPA en aproximadamente un minuto.
Protección de huecos y bombardeos de átomos en Windows Defender ATp
Microsoft ha agregado protecciones de seguridad en Windows 10 contra dos formas de técnicas de inyección de código conocidas como Proceso de vaciamiento y bombardeo de átomos.