RSS
Facebook
G+

Buscador de IntercambioSOS:


Retroceder   Foro de Ayuda IntercambiosvirtualeS > Sociales, Noticias & Entretenimiento > Noticias

Respuesta
 
Herramientas Desplegado
Antiguo 06-ene-2017     #1
Predeterminado Múltiples vulnerabilidades en productos Kaspersky

Múltiples vulnerabilidades en productos Kaspersky


Se han anunciado múltiples vulnerabilidades en diferentes productos Kaspersky que podrían permitir a atacantes remotos evitar la validación de certificados o a usuarios locales obtener una llave SSL privada.

Se ven afectados los productos:

– Kaspersky Anti-Virus 2016, 2017
– Kaspersky Internet Security 2016, 2017
– Kaspersky Total Security 2016, 2017
– Kaspersky Small Office Security 4, 5
– Kaspersky Fraud Prevention for Endpoints 6.0
– Kaspersky Safe Kids for Windows 1.1
– Kaspersky Endpoint Security for Mac

Los problemas fueron reportados por el conocido Tavis Ormandy de Google Project Zero. No es la primera vez que este investigador se centra en productos de seguridad, y más concretamente en Kaspersky. En esta ocasión el problema reside en la característica de inspección de tráfico SSL/TLS que los antivirus Kaspersky usa para detectar potenciales riesgos escondidos dentro de las conexiones cifradas.

Un usuario local puede obtener una llave privada empleada para gestionar conexiones SSL y construir ataques contra las conexiones SSL iniciadas por el navegador del usuario atacado.

Cuando el usuario atacado confía explícitamente en un certificado SSL no válido para un determinado sitio, es posible que un usuario remoto pueda omitir las advertencias de validación de certificados de los sitios enumerados en los Subject Alternative Names del certificado SSL no válido original.

Por último, un usuario remoto que pueda realizar un ataque de hombre en el medio podría aprovechar un error en la caché del certificado SSL para acceder a conexiones SSL iniciadas por el navegador del usuario de destino para un sitio.

Kaspersky ha publicado actualizaciones para los siguientes productos:

– Kaspersky Anti-Virus 2016, 2017
– Kaspersky Internet Security 2016, 2017
– Kaspersky Total Security 2016, 2017
– Kaspersky Small Office Security 4, 5
– Kaspersky Fraud Prevention for Endpoints 6.0
– Kaspersky Endpoint Security for Mac

La corrección se incluyo a través de la autoactualización el pasado 28 de diciembre. Se recomienda actualizar los productos afectados.

Más información:

Kaspersky: SSL interception differentiates certificates with a 32bit hash
https://bugs.chromium.org/p/project-.../detail?id=978

Responder Citando
Los siguientes 3 usuarios agradecen a matigari por este mensaje:
baduser (06-ene-2017), schmar (15-ene-2017), tom1260 (09-ene-2017)
Antiguo 06-ene-2017     #2
Predeterminado

Ya decía yo que ni el Kaspersky era perfecto, ya le encontraron un hueco muy grande... jajajajaja

Responder Citando
Los siguientes 2 usuarios agradecen a baduser por este mensaje:
matigari (06-ene-2017), tom1260 (09-ene-2017)
Respuesta


(0 miembros y 1 visitantes)
 
Herramientas
Desplegado

Normas de Publicación
No puedes crear nuevos temas
No puedes responder mensajes
No puedes subir archivos adjuntos
No puedes editar tus mensajes

Los Códigos BB están Activado
Las Caritas están Activado
[IMG] está Activado
El Código HTML está Desactivado

Ir al Foro

Temas Similares
Tema Autor Foro Respuestas Último mensaje
Nuevas versiones de PHP corrigen múltiples vulnerabilidades matigari Noticias 0 24-ago-2016 13:41
Kaspersky Free, la solución antivirus gratuita de Kaspersky tortex Seguridad 14 26-feb-2016 21:02
Kaspersky Internet Security 2010 punisher Seguridad 5 12-nov-2010 00:31


Desarrollado por: vBulletin® Versión 3.8.1
Derechos de Autor ©2000 - 2024, Jelsoft Enterprises Ltd.
Ad Management by RedTyger