Parche de los martes en Marzo y solución para FREAK

0

Vulnerabilidad FREAK

Apple y Microsoft -lo contamos la semana pasada- han presentado sendos parches o métodos para minimizar los daños causados por la vulnerabilidad Freak, días después de que dicho problema fuera descubierto en sistemas Mac OS y Linux.

En qué consiste eso de FREAK

En resumidas cuentas, podemos hablar de una vulnerabildiad introducida de forma consciente por las autoridades de EEUU para poder realizar ataques de suplantación o Man in the Middle en las conexiones seguras –HTTPS– producidas entre dipositivos afectados.

Se encontró que, una vez interceptadas, las conexiones pueden ser “obligadas” a usar el mecanismo cruptográfico “export-grade” (el tipo vulnerable), incluso aunque los algoritmos débiles estén por defecto inhabilitados. Esto significa que esta vulnerabilidad sobre el procotolo de conexión segura SSL/TLS podría permitir a terceros no autorizados espiar sobre conexiones de datos supuestamente seguras.

Ejemplo de funcionamiento de la vulnerabilidad FREAK

Ejemplo de funcionamiento de la vulnerabilidad FREAK

Aunque inicialmente los únicos sistemas afectados parecían ser los de Apple y UNIX, hace pocos días acabó por surgir el mismo peligro para las conexiones llevadas a cabo mediante Internet Explorer de Windows.

Parches de Google y Apple para FREAK

Google fué la primera empresa en responder con un parche en forma de OTA a sus distribuidores. Hace pocos días que Apple y Microsoft han seguido el ejemplo.

Apple

  • Lanzado parche de seguridad 2015-002 para OS X y otros similares para su Apple TV y el sistema mobile iOS, mediante las últimas actualizaciones de sistema.

El parche para Mac OS X está disponible en versiones Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y Mac OS X Yosemite v10.10.2.

iOS

  • Parece ser que el último parche disponible para iOS además incluye una sorpresa: y es que se ha corregido un problema de seguirdad que podria permitir que los hackers enviasen remotamente comandos vía SMS a los teléfonos para reiniciarlos sin su consentimiento.

Parche de los Martes de Microsoft

Microsoft también  ha conseguido responder rápido a la amenaza, presentando un parche para corregir FREAK mediante los boletines de Marzo.

El Parche de los Martes de Microsoft corrige la vulnerabilidad FREAK

Internet Explorer

Las actualizaciones también incluyen correcciones para ciertos fallos de seguridad de Internet Explorer 6 y posteriores, incluyendo la Vulnerabilidad XSS que podría ser aprovechada para lanzar un ataque de phishing o inyectar código malicioso en los navegadores.

PARCHE SOLUCIÓN
MS15-019 Corregida vulnerabilidad en el motor de scripting VBScript, pudiendo ocasionar ejecución remota de código.
MS15-020           Se han corregido ciertas vulnerabilidades que podrían acarrear ejecución de código, de forma similar a como ocurría con el gusano Stuxnet
MS15-021       Corrige ciertas vulnerabilidades en el driver de Adobe Font que podrían conducir a ejecución remota de código.
MS15-022 Corrige vulnerabilidades en Microsoft Office que podrían derivar en ejecución de código malicioso.

Podéis encontrar todas las correciones de seguridad desplegadas en el Parche de los Martes de Microsoft para Marzo en la web de  Microsoft.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR