Google corrige nuevas vulnerabilidades zero-day en Chrome
Google ha corregido nuevas vulnerabilidades ‘zero-day’ en el navegador web Chrome, que estaban siendo explotadas activamente durante las últimas semanas. A continuación, se detallan los fallos de seguridad que fueron corregidos: CVE-2020-16009: Un fallo en la implementación del componente V8 permitiría a un atacante remoto corromper la memoria basada en «heap» a través de una página HTML especialmente manipulada. Este tipo de vulnerabilidades suelen tener graves impactos, como la ejecución de código arbitrario o la denegación del servicio.CVE-2020-16013: Otro fallo de implementación en el componente V8 relacionado a la forma en que ejecuta el motor JavaScript.CVE-2020-16017: Una falla de corrupción…
Vulnerabilidad de inyección de objetos en plugin ‘Welcart’ de WordPress
El equipo de Threat Intelligence de Wordfence descubrió una vulnerabilidad crítica de inyección de objetos en ‘Welcart’, un plugin de WordPress con más de 20,000 instalaciones. La vulnerabilidad, identificada como CVE-2020-28339, permite una Inyección de Objetos debido a la función usces_unserialize, la cual se invoca en get_cookie(), y es usada para decodificar el contenido de las cookies necesarias para rastrear las sesiones de los usuarios de la tienda. Un atacante autenticado de forma remota podría modificar el parámetro usces_cookie a su antojo y conseguir comprometer el sistema mediante la inyección de un objeto PHP. Productos afectados: WP Plugin Welcart: son…
Cisco corrige vulnerabilidades críticas en la solución ‘Cisco Security Manager’
Cisco ha publicado recientemente múltiples avisos de seguridad sobre vulnerabilidades críticas encontradas en la solución ‘Cisco Security Manager’ (CSM), las cuales podrían permitir que atacantes remotos no autenticados obtengan acceso a información confidencial en un sistema afectado. ‘Cisco Security Manager’ es una solución de administración de seguridad empresarial que brinda información y control sobre los dispositivos de red y seguridad de Cisco: dispositivos de seguridad, sistemas de prevención de intrusiones, firewalls, enrutadores, conmutadores, etc. Las fallas de seguridad, identificadas como CVE-2020-27130, CVE-2020-27125 y CVE-2020-27131, fueron reportadas al equipo de respuesta a incidentes de seguridad de productos (PSIRT) de Cisco el…
Google elimina 21 aplicaciones maliciosas de la Play Store
Investigadores de Avast informaron sobre hallazgos de 21 aplicaciones que servían anuncios intrusivos, además reportaron que estas aplicaciones maliciosas fueron descargadas casi ocho millones de veces del portal de aplicaciones de Google. Las aplicaciones maliciosas, generalmente se hacían pasar por juegos legítimos, pero contenían adware oculto de la familia HiddenAds. Este malware no es sencillo de identificar por la víctima debido a que no solo oculta su ícono para evitar que se elimine, sino que además se esconde tras anuncios aparentemente relevantes. Aunque las aplicaciones se pueden desinstalar a través de las funciones del administrador de aplicaciones del dispositivo, los…
Vulnerabilidad crítica en algunos firewalls SonicWall podría permitir ataque de DDoS
Se reportó una vulnerabilidad crítica de desbordamiento de búfer que afecta a los dispositivos VPN SonicWall, identificada como CVE-2020-5135, podría ser explotada para bloquear un dispositivo y evitar que los usuarios accedan a sus recursos corporativos, además de permitir la ejecución de código remoto. La vulnerabilidad puede ser explotada empleando una solicitud HTTP no autenticada que involucre un controlador de protocolo personalizado. No obstante, los expertos creen que este es solo el comienzo dado que solo con esto, ya es posible llevar a cabo un ataque de denegación de servicio, porque el desbordamiento puede provocar el reinicio del firewall de…
Alerta por ataques de nuevo ransomware ‘Egregor’
La compañía ‘Cencosud’, una de las empresas minoristas más grandes de América Latina, se vio afectada por un ataque de ransomware conocido como ‘Egregor’, el cual encriptó dispositivos en sus puntos de venta y afectó las operaciones de la empresa. Ransomware ‘Egregor’ Egregor es un Ransomware-as-a-Service (RaaS) que comenzó a operar a mediados de septiembre, y durante este tiempo, ha sido responsable de otros ataques de alto perfil contra organizaciones como Crytek, Ubisoft y Barnes and Noble. Suele ser distribuido por los atacantes después de una violación de la red corporativa. La muestra de malware es un archivo DLL que…
Apple repara varias vulnerabilidades de día cero en su última actualización de iOS
Apple ha parcheado recientemente tres vulnerabilidades de día cero de iOS explotadas activamente, y que afectan a los dispositivos iPhone, iPad e iPod. La lista de dispositivos afectados incluye iPhone 6s y posteriores, iPod touch de séptima generación, iPad Air 2 y posteriores, y iPad mini 4 y posteriores. Los días cero fueron solventados por Apple con el lanzamiento de iOS 14.2, la última versión estable del sistema operativo móvil. También afectan a otros dispositivos y plataformas de Apple, incluidos: Mac con versiones de macOS Catalina anteriores a macOS Catalina 10.15.7 iPads con versiones de iPadOS anteriores a iOS 14.2…
Microsoft Patch Tuesday de Noviembre 2020 solventa 17 fallos críticos
El resumen de las correcciones de seguridad de Microsoft Patch Tuesday de noviembre, abordó una cantidad inusualmente grande de errores de ejecución remota de código (RCE). Doce de los diecisiete parches críticos de Microsoft estaban vinculados a errores de RCE. En total, Microsoft reparó 112 vulnerabilidades, 93 calificadas como importantes y dos con severidad baja. Microsoft identificó como CVE-2020-17087 una vulnerabilidad de elevación de privilegios local sobre el kernel de Windows. La semana pasada, Google Project Zero reveló el error, que informó que la falla estaba siendo explotada en la naturaleza junto con una falla de Google Chrome (CVE-2020-15999), que…
Actualizaciones de Adobe solventan fallos críticos que afectan a sus aplicaciones de Windows y macOS
Adobe ha lanzado actualizaciones de seguridad para solventar vulnerabilidades críticas que afectan a diez de sus productos Windows y macOS que podrían permitir a los atacantes ejecutar código arbitrario en dispositivos que ejecutan versiones de software vulnerables. Los productos de software parcheados hoy por Adobe incluyen Adobe Creative Cloud Desktop Application, Adobe InDesign, Adobe Media Encoder, Adobe Premiere Pro, Adobe Photoshop, Adobe After Effects, Adobe Animate, Adobe Dreamweaver, Adobe Illustrator y Marketo. Entre los fallos se destacan: APSB20-68, Adobe Creative Cloud Desktop (CVE-2020-24422): Adobe ha publicado una actualización de seguridad para Adobe InDesign que corrige una vulnerabilidad de ruta de…
Vulnerabilidades críticas en productos Intel
El pasado 10 de noviembre Intel hizo público 40 avisos de seguridad que abordan vulnerabilidades críticas, altas y medias en una gran variedad de productos, pero entre los más importantes se tienen, errores críticos que pueden ser explotados por ciberdelincuentes no autenticados para obtener privilegios escalonados. Entre las vulnerabilidades críticas se encuentra una falla en Intel AMT e Intel Standard Manageability (ISM), con identificador CVE-2020-8752, que se ubica en un 9,4 sobre 10 en la escala de vulnerabilidad y gravedad de CvSS, el cuál podría permitir que un usuario no autenticado habilite potencialmente escalada de privilegios a través del acceso…