Actualización de Chrome 150 corrige 15 vulnerabilidades, incluidas dos críticas
Google ha publicado la versión 150 de Chrome, que corrige 15 vulnerabilidades, entre ellas dos críticas use‑after‑free en Ozone que pueden permitir ejecución remota de código al visitar una página web especialmente diseñada. El vector de ataque requiere que el usuario acceda a contenido malicioso, lo que conlleva interacción y aumenta la superficie de ataque. Estas fallas afectan a Windows, macOS y Linux y comprometen confidencialidad, integridad y disponibilidad. En escenarios de ataque avanzado, la vulnerabilidad podría combinarse con otros errores para escalar privilegios. CVE y severidad CVE-2026-15764 – Crítica – Vulnerabilidad use‑after‑free en Ozone CVE-2026-15765 – Crítica – Vulnerabilidad…
Vulnerabilidad crítica en Active Directory Federation Services de Microsoft explotada en entornos empresariales
Microsoft ha publicado actualizaciones de seguridad para CVE-2026-56155, una vulnerabilidad de elevación de privilegios activamente explotada en Active Directory Federation Services (AD FS). Esta falla permite a un atacante autenticado con privilegios mínimos escalar a nivel de administrador en sistemas vulnerables. La explotación ha sido confirmada en entornos reales, con un impacto crítico en la confidencialidad, integridad y disponibilidad de los sistemas afectados, especialmente en entornos empresariales que dependen de AD FS para autenticación federada. CVE y severidad CVE: CVE-2026-56155 Severidad: Importante (según Microsoft) CVSS 3.1: Base 7.8 (AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H) Clasificación CWE: CWE-1220 (Insuficiente granularidad en el control de acceso) Estado:…
Vulnerabilidad crítica en BitLocker de Windows (CVE-2026-50661)
Microsoft ha publicado una vulnerabilidad crítica de tipo bypass de característica de seguridad en BitLocker (CVE-2026-50661), que permite a un atacante físico acceder a datos cifrados en dispositivos Windows sin conocer credenciales de desbloqueo. La falla afecta el flujo de cifrado de dispositivos y, al ser explotada, anula las garantías de protección de BitLocker en sistemas apagados o secuestrados. Aunque Microsoft clasifica su explotación como «poco probable» por requerir acceso físico, el impacto es significativo para entornos que dependen de BitLocker para proteger datos en reposo, como laptops, servidores en sucursales o infraestructura híbrida. CVE y severidad CVE-2026-50661: Vulnerabilidad de…
Notepad++ 8.9.7 corrige cinco vulnerabilidades, incluida una inyección de comandos PowerShell que permite ejecución de código
Notepad++ v8.9.7 aborda cinco vulnerabilidades críticas, incluyendo una inyección de comandos en PowerShell durante la instalación que permite ejecución arbitraria de código. Los fallos afectan componentes clave como el instalador, el gestor de sesiones y el actualizador, con riesgos que incluyen corrupción de memoria, escritura arbitraria de archivos y bypass de validaciones de rutas. La explotación podría ocurrir mediante paquetes de instalación manipulados o ataques de ingeniería social, comprometiendo sistemas completos. CVE y severidad CVE Componente Vulnerabilidad Impacto CVE-2026-52886 Función core (expandNppEnvironmentStrs) Desbordamiento de búfer en la pila (stack buffer overflow) Corrupción de memoria y posible ejecución de código (RCE)…
Microsoft corrige vulnerabilidades críticas en el Patch Tuesday de julio de 2026
Microsoft publicó su actualización mensual de Patch Tuesday para julio de 2026, abordando aproximadamente 570 vulnerabilidades en su ecosistema, incluyendo dos fallas de Remote Code Execution (RCE) críticas en SharePoint y el Spooler de impresión. Entre las vulnerabilidades más destacadas se encuentran CVE-2026-58644 (RCE en SharePoint) y CVE-2026-58608 (RCE en Print Spooler), ambas con alto potencial de explotación por actores de ransomware y estados-nación. Además, se confirmaron en uso activo CVE-2026-56164 (elevación de privilegios en SharePoint) y CVE-2026-56155 (elevación de privilegios en Active Directory Federation Services), lo que subraya la urgencia de aplicar las correcciones en entornos críticos. CVE y…
Vulnerabilidad crítica en FortiSandbox expone servidor VNC sin autenticación
Fortinet ha revelado una vulnerabilidad de severidad alta (CVE-2026-59835, CVSSv3 7.7) en FortiSandbox que permite a atacantes sin autenticación acceder al servidor VNC de las máquinas virtuales utilizadas para el análisis de malware. La falla, clasificada como Exposición de Recurso a Esfera Incorrecta (CWE-668), facilita la exposición de datos sensibles al enviar solicitudes maliciosas a los entornos sandbox aislados, sin interacción del usuario ni complejidad técnica. Los modelos de hardware FSA-500G y FSA-1500G son los afectados, priorizando la actualización en entornos on-premises. CVE y severidad CVE: CVE-2026-59835 Severidad: Alta CVSSv3: 7.7 (Exposición de Recurso a Esfera Incorrecta) Impacto: Desvelamiento de…
Incidente de exfiltración de datos en extensión ModHeader
La extensión ModHeader para Chrome y Edge, con más de 1.6 millones de instalaciones, fue retirada de las tiendas oficiales tras descubrirse que su versión 7.0.18 contenía un módulo dormido capaz de recolectar, cifrar y transmitir datos de dominios visitados por los usuarios. Aunque la funcionalidad de modificación de headers HTTP justifica sus amplias permisiones, el código implementaba un pipeline de exfiltración con almacenamiento en IndexedDB y un endpoint de upload a api.stanfordstudies.com/app/log. Aunque el mecanismo estaba bloqueado por una lista de permisos vacía en la versión analizada, su infraestructura completa —incluyendo cifrado AES-GCM y telemetría a extensions-hub.com— demuestra riesgos…
Análisis de vulnerabilidades críticas con enfoque en Linux y entornos empresariales
Durante la última semana se identificaron vulnerabilidades críticas en entornos empresariales y Linux, incluyendo fallos con más de una década de antigüedad que podrían haber pasado desapercibidos. Entre los hallazgos destacan Januscape (CVE-2026-53359), un escape de KVM en Linux con 16 años de latencia, y GhostLock (CVE-2026-43499), una elevación de privilegios en el kernel que permaneció oculta por 15 años. Ubiquiti reveló 25 vulnerabilidades en su ecosistema UniFi, incluyendo una inyección de comandos sin autenticación (CVE-2026-50746), mientras que Accenture confirmó un incidente de posible filtración de 35 GB de código fuente. Además, se documentaron exploits críticos en Android 17, Microsoft…
Actualización de Google Chrome corrige 27 vulnerabilidades incluyendo dos fallas críticas de ejecución remota de código
Google ha lanzado una actualización estable de Chrome que corrige 27 vulnerabilidades de seguridad, entre ellas dos fallos críticos de ejecución remota de código (RCE) (CVE-2026-15112 y CVE-2026-15129) en capas internas como Ozone y Views. Estos errores de use-after-free permiten a un atacante comprometer sistemas al redirigir víctimas a páginas maliciosas. CVE y severidad CVE Tipo de vulnerabilidad Componente afectado Severidad CVE-2026-15112 Use-after-free Ozone Crítica CVE-2026-15129 Use-after-free Views Crítica CVE-2026-15132 Uso de memoria no inicializada V8 Alta CVE-2026-15133 Use-after-free InterestGroups Alta CVE-2026-15108 Desbordamiento de enteros Extensions API Alta CVE-2026-15109 Uso de memoria no inicializada ANGLE Alta CVE-2026-15110 Use-after-free Extensions Alta…
