Importante fallo de seguridad en WinRAR afecta a más de 500 millones de usuarios de Windows.
Fallo de seguridad en WinRAR
Si eres de los que usa WinRAR lo más seguro es que lo lleves utilizando muchos años y jamás lo hayas actualizado ¿verdad? Como sabrás, WinRAR es un compresor/descompresor de archivos de muchos formatos que está instalado en más de 500 millones de ordenadores de todo el mundo.
El fallo de seguridad
Se ha descubierto un importante fallo de seguridad en la aplicación WinRAR que permite a un atacante instalar y ejecutar código malicioso en nuestro ordenador.
Cómo se explota el fallo
Un fallo presente en una librería permite modificar la ruta de extracción del archivo (aunque el usuario escoja otra) y hacer que esta se a definida de antemano. De esta manera un atacante sólo podría dejar un archivo en una carpeta concreta y donde se tengan permisos. Sin embargo, a través de un exploit se puede extraer en la carpeta que queramos, por ejemplo en la carpeta de arranque de Windows, de manera que si abrimos un archivo comprimido infectado con el exploit, WinRAR extraerá el malware a esta carpeta y se ejecutará cada vez que arranquemos el ordenador.
En el siguiente video de Check Point Software Technologies, puedes ver de manera fácil cómo se explota.
¿Como puedo estar a salvo?
Lo mejor que puedes hacer es… ¡actualizar! si, eso mismo, actualizar Winrar a su última versión. Aunque el fallo de seguridad no está parcheado, han tomado cartas en el asunto.
Ya que la librería vulnerable (UNACEV2.DLL) no fue creada por ellos y no tienen el código fuente para solucionar el error, lo que han hecho ha sido eliminar el soporte de archivos .ACE en la aplicación ya que es el que tiene los problemas en la librería. Una solución burda pero efectiva.
Como consejo y alternativa real a la opción de actualizar, te invito a utilizar aplicaciones similares, y gratuitas, como 7zip, pero eso ya depende de tu opinión.
Se ha descubierto una importante vulnerabilidad en versiones de WordPress anteriores a 5.0.3 que permite a un usuario autenticado con un simple rol de «autor», ejecutar código de forma remota.
Vulnerabilidad importante en versiones de WordPress anteriores a 5.0.3
Un nuevo capítulo en la seguridad de WordPress. En este caso, se trata de una vulnerabilidad que lleva más de 6 años en el core de WordPress y que aún no se había parcheado. El atacante, mediante el uso de dos tipos de ataques como «Path Traversal» y «Local File Inclusion», puede ejecutar un código PHP arbitrario en el servidor donde se aloja la instalación de WordPress, lo que lleva a una toma de control remota completa.
Una vez ejecutado el atacante podrá acceder a todos los archivos del directorio principal de WordPress y por lo tanto además, a la base de datos de éste con el peligro que eso conlleva.
Puedes ver la prueba de concepto en el siguiente video
El hecho de que se necesite un usuario autenticado (aunque sea de rol suscriptor o autor) hace que la vulnerabilidad sea menos peligrosa pero aún así, existe y es necesario erradicarla.
¿Cómo protegerme de esta vulnerabilidad?
Actualiza tu WordPress a la versión 5.0,3 (o sucesivas) donde este fallo está parcheado y no tendrás que preocuparte de ella.
Tienes más información y un video de la prueba de concepto en este link:
Aquí te dejo la presentación de mi ponencia en la WordCamp Las Palmas de Gran Canaria 2019 para que la utilices como referencia para tu tienda online y para que ¡no te estafen!
El nuevo fallo de seguridad en Google+ descubierto, acelera la supresión de este servicio de Google.
Otro fallo de seguridad en Google+
Hace un tiempo ya advertimos sobre un fallo de seguridad que obligaría a cerrar la red social, pues bien, la fecha de cierre se va a adelantar debido a otro fallo grave de seguridad.
La noticia se ha hecho pública a través de un comunicado de Google, donde indica que han encontrado un fallo de seguridad introducido en una actualización en el mes de noviembre. Este fallo hará que el cierre de la aplicación Google+ se adelante. Ya no será en agosto de 2019 sino que será aproximadamente para el día 10 de marzo, 90 días hábiles a contar desde el 10 de diciembre de 2018, como dicen en el comunicado.
El fallo permitiría a un tercero solicitar información confidencial de un usuario sin éste autorizarlo y permitiría recabar información personal de todos los usuarios de Google+ como el nombre, email, edad, etc.
Más de 50 millones de usuarios están afectados por este fallo. Esperemos que se trate, como dicen, de un fallo y no sea otra artimaña del gigante tecnológico para «morir matando».
Fakeinet.com es una base de datos con información sobre estafas, tiendas falsas y todo tipo de fakes de internet.
Fakeinet.com, una web para informar y recopilar estafas y tiendas falsas de internet
Hoy vengo a hablarte de una pagina web sobre la que tengo muchas ilusiones. Si me conoces ya sabrás que siempre me ha preocupado mucho el tema de la seguridad en internet para todas las personas, padres, madres, profesores, niños… en definitiva, para todo tipo de público.
Últimamente estoy viendo que proliferan las estafas en la red ya que es un método sencillo y sobre todo económico de conseguir dinero de una manera digamos, indigna o fraudulenta. Noticias falsas, cuentas de redes sociales con chicas de dudosa credibilidad que te solicitan amistad, falsos anuncios en las redes sociales que, si haces clic, te redirigen a sitios webs maliciosos… ¿pero es que ninguna de estas redes sociales donde se muestran estos anuncios va a hacer nada?
¿Por qué fakeinet.com?
La verdad que hace tiempo que estoy harto de todo esto y desde hace unos meses me puse manos a la obra para evitar el fraude de la tienda online con falsas ofertas de gafas Ray-ban. Encontré varias páginas «clones» de rbaef.com (que es la primera que me encontré yo) donde «vendían» lo mismo. Algunas ya han llegado a las autoridades competentes y las han cerrado, pero otras aún siguen en la red intentando pillar cacho del buen hacer del usuario de internet.
Al hilo de este post, continué con mi «cruzada» particular contra las tiendas online falsas con algunos post de otros Ecommerce fraudulentos que encontré por ahí.
No más estafas ni falsos contenidos
Pues bien, después de todo este preámbulo, hoy puedo decirte que he puesto en marcha un nuevo proyecto con mi buen amigo Monty.
fakeinet.com es un sitio web donde tratamos de recopilar todo tipo de engaños, estafas y contenidos falsos que existen por internet, con el fin de que los conozcas y te ayuden, en un momento determinado, a no comprar en una tienda online de la que dudas o a confiar en cuentas falsas de redes sociales que solo quieren enviarte SPAM.
Se trata de una web muy sencilla donde queremos que cualquier usuario encuentre bien todas estas estafas. Nos gustaría que fuera un lugar de referencia para ti, que navegas por internet todos los días y que encuentras información que no siempre es verdadera. Ya tienes un sitio al que acudir si tienes dudas.
Además te brindamos la posibilidad de reportarnos posibles estafas para que las estudiemos y, en el caso de ser contenidos fraudulentos, los publicaremos en la web. Para ello puedes utilizar el menú «Avísanos» o el formulario que encontrarás en nuestro sitio, como puedes ver en la siguiente imagen
Listado de tiendas online falsas
También encontrarás un listado actualizado con las últimas tiendas online falsas que hemos encontrado o nos habéis enviado y añadido a nuestra base de datos y, por supuesto, consejos y guías en nuestra sección «Utilidades«, para que sepas reconocer fácilmente este tipo de estafas. Se crees que falta alguna guía, dínoslo y crearemos una rápidamente.
Te avisamos sobre nuevas estafas
Para terminar, si quieres mantenerte informado/a sobre las últimas estafas que vamos encontrando, suscríbete a nuestra lista de correo y nosotros te las enviaremos a tu email. Así de fácil. Utiliza para ello el formulario como el que ves a continuación
En fin, una web hecha con mucha ilusión para que te ayude a tomar decisiones sensatas a la hora de navegar por internet.
Presentación de diapositivas de mi taller «Alta Seguridad en WordPress» en las jornadas de «Hack & Sec» de la escuela Ciberalisal de Santander, donde vimos la manera de securizar nuestras páginas web hechas con WordPress.
Alta Seguridad en WordPress
WordPress es el CMS más usado a nivel mundial y por lo tanto, también el más atacado. Veremos las principales riesgos de seguridad a tener en cuenta en WordPress.
Puedes descargar la presentación «Alta seguridad en WordPress» haciendo clic aquí o en la siguiente imagen
Si te ha gustado déjame tus comentarios. También puedes sugerirme ideas para futuros tutoriales relacionados con la seguridad en WordPress o con trucos de seguridad en general.
Valórame, es gratis, solo te cuesta un click [kkstarratings]
