Diversas vulnerabilidades en Moodle

Moodle

Moodle ha publicado tres boletines de seguridad en los que corrigen otras tantas vulnerabilidades. Se ven afectadas las versiones 2.6, 2.5 a 2.5.4, 2.4 a 2.4.7, 2.3 a2.3.10 y anteriores.

Moodle, es conocida y ampliamente utilizada como plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.
Continúa leyendo Diversas vulnerabilidades en Moodle

Google anuncia nueva versión de Chrome y corrige 11 vulnerabilidades

Google Chrome

Google ha anunciado la nueva versión de su navegador Chrome 32. Se publican las versiones 32.0.1700.76 para las plataformas Windows y Chrome Frame y 32.0.1700.77 para Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 11 nuevas vulnerabilidades.

Según el aviso de Google se ha incluido indicadores para mostrar que páginas hacen uso de sonido, webcam y casting; una imagen diferente para el modo Metro de Windows 8; bloqueo automático de archivos con malware; muchas nuevas aplicaciones y extensiones API así como numerosos cambios en la estabilidad y rendimiento.
Continúa leyendo Google anuncia nueva versión de Chrome y corrige 11 vulnerabilidades

BREACH: nuevo ataque a páginas HTTPS

El esquema de cifrado HTTPS es susceptible a nuevo ataque que permite obtener ciertas credenciales de seguridad en tan sólo 30 segundos o pocos minutos.

La técnica BREACH (Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext), demostrada el jueves en la conferencia Black Hat [PDF con Slide] por Angelo Prado,

Neal Harris y Yoel Gluck, permite decodificar páginas protegidas por SSL y TLS. El ataque puede extraer partes concretas de datos, tales como: números de seguro social, direcciones de email, algunos tipos de tokens de seguridad y enlaces para restablecer la contraseña. Funciona en todas las versiones de TLS y SSL independientemente del algoritmo de cifrado que se utilice.

Se requiere que el atacante tenga la capacidad de monitorear pasivamente el tráfico que viaja entre el usuario y el sitio web y que la víctima visite un enlace malicioso. Esto se puede hacer mediante la inyección de una etiqueta iframe en un sitio web que la víctima visite normalmente o engañando a la víctima para que visualice un mensaje de correo electrónico con imágenes ocultas, que se descargan automáticamente para generar peticiones HTTP. El enlace malicioso hace que el sistema de la víctima haga varias peticiones al servidor HTTPS objetivo. Estas solicitudes se utilizan luego para hacer “conjeturas de sondeo”.
Continúa leyendo BREACH: nuevo ataque a páginas HTTPS

Java 0-day exploits: como desactivarlo en nuestro navegador

java-bug

Si bien Java no es lo único que debe preocuparnos, es el peor según la gente de F-Secure, por lo que han lanzado el sitio de concientización Java 0-Day para contar los exploits, las vulnerabilidades y los días que pasan sin que Oracle solucione las múltiples vulnerabilidades en esta herramienta.

Además también crearon Is There Java 0-Day (¿hay 0-Day en Java?).
La respuesta es obviamente: YES.
Continúa leyendo Java 0-day exploits: como desactivarlo en nuestro navegador

Cinco tips para la Seguridad Informática de las mujeres

Cinco tips para la Seguridad Informática de las mujeres

Estudio realizado por European Comission revela que las mujeres tienen mayor interacción en las redes sociales como Facebook.

Realizar diversas actividades en línea pueden resultar, en algunos casos, peligrosas para la seguridad de las personas que las realizan. Kaspersky Lab ha recomendado cinco estrategias que permitirán la seguridad informática en las féminas.
Continúa leyendo Cinco tips para la Seguridad Informática de las mujeres