Parche para proteger Windows y otros soft Microsoft contra los falsos certificados


Aunque Microsoft ha advertido que se necesitan elevados conocimientos para aprovechar el agujero de seguridad encontrado en la API de criptografía de varias versiones de Windows (98, 98 Second Edition, ME, NT 4.0, NT 4.0 Terminal Server Edition, 2000 y XP), así como en los programas Office, Internet Explorer y Outlook Express, ya ha desarrollado el parche correspondiente. Esta vulnerabilidad permitía a los hackers usar falsos certificados y firmas digitales para tomar el control de comunicaciones seguras.





A comienzos de agosto un investigador independiente descubrió un agujero en la API de criptografía de Windows (CryptoAPI) que proporciona al sistema operativo la estructura que los programas utilizan para obtener los servicios criptográficos. En concreto, CryptoAPI proporciona soporte, entre otras tareas, para la encriptación, la decodificación y el manejo de los certificados digitales.
El problema se origina porque CryptoAPI no comprueba el parámetro del certificado digital denominado “Basic Constraints” que sirve para validar las cadenas del certificado, es decir, la jerarquía de seguridad que deriva de las autoridades máximas de certificación como, por ejemplo, VeriSign. Con ello se permitiría la creación de certificados falsos que no son detectados por el software de Microsoft y cuyo objetivo podría ser la identificación del emisor de un mensaje de e-mail o la identidad de un servidor. También se pueden usar para “secuestrar” sesiones IPSec, engañar a los sistemas de autenticación o firmar digitalmente códigos maliciosos usando la tecnología Authenticode de Microsoft, induciendo a los usuarios a creer que el código proviene de una fuente de confianza.

www.microsoft.com/technet


Fuente: PcWorld - Almudena Alameda




Otras noticias de interés:

MPAA: Es hora de detener la obstrucción contra SOPA
SOPA simplemente se ha parado, unos días más, quizá unas semanas, pero el debate continúa y la declaración de la Casa Blanca y posterior paralización de la Cámara de Representantes es sólo un punto y seguido en el debate. ...
Usuarios de Hotmail y Windows Mail Live en peligro
Numerosos foros y sitios de seguridad, mayormente en español, han reportado la existencia de un importante error en los servicios de correo de Hotmail, que permiten a un atacante obtener las credenciales de acceso de su víctima....
Corrupción de memoria en Firefox y otros navegadores
Mozilla Firefox es propenso a una vulnerabilidad explotable de forma remota, capaz de provocar la corrupción de la memoria utilizada por el programa....
Ataques a los proveedores de infraestructuras han costado 850k dolares
Aproximadamente la mitad de los proveedores de infraestructuras críticas ha sufrido ciberataques de origen terrorista o patrocinados por algún estado, según la encuesta 2010 sobre protección de infraestructuras críticas de Symantec....
FALTA DE SEGURIDAD EN TECLADOS INALAMBRICOS
El radio de acción de las señales emitidas por los teclados inalámbricos, junto con la falta de cifrado de los datos transmitidos, puede hacer peligrar su seguridad, como pone de manifiesto una noticia de la que se hace eco ...
No rompan Internet. No al SOPA
Stanford Law Review es una publicación de reconocido prestigio entre abogados en los EE. UU. Hoy publicó el artículo Don’t Break the Internet escrito por Mark Lemley, David S. Levine, y David G. Post., de las universidades de Stanford, Elon y Te...
Entidades financieras de EEUU. en alerta por posibles ciberataques
El Servicio de Información y Análisis Financiero Sharing Center ha alertado a las entidades financieras y bursátiles de Estados Unidos para que aumenten sus medidas de protección ante posibles ciberataques. Se han registrado ataques a varios banc...
Golpe a la Libertad de expresión en Venezuela
Es triste como en un país que posee tantas riquezas materiales, se viva actualmente un regimen Socialista-Comunista-totalitario que nos lleva hacia el desbanque politico-social-economico....
Nueva versión del BugBear (Win32/Bugbear.B)
Este virus se está distribuyendo aceleradamente en las últimas horas por Internet. Se trata de un gusano de envío masivo con capacidad de propagarse también a través de recursos compartidos en red. Infecta archivos con extensión .EXE y finaliza...
Cisco lanza parches de seguridad
Cisco ha lanzado varias actualizaciones de seguridad para corregir vulnerabilidades de su cliente de movilidad segura AnyConnect, de sus appliances de seguridad adaptativa de la serie ASA 5500, del módulo de servicios ASA, Cisco Catalyst 6500, y de ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • certificados
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • falsos
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • parche
  • pgp
  • php
  • proteger
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra