Noticias de Seguridad

Vulnerabilidades de Oracle E-Business Suite permitirían secuestro de operaciones comerciales

En un informe publicado por la empresa de ciberseguridad Onapsis, se revelaron detalles técnicos sobre las vulnerabilidades que informó en E-Business Suite (EBS) de Oracle, un grupo integrado de aplicaciones diseñadas para automatizar CRM, ERP y SCM operaciones para organizaciones. Oracle parchó las dos vulnerabilidades, denominadas «BigDebIT» y calificó con un puntaje CVSS de 9.9, en una actualización de parche crítico (CPU) lanzada a principios de enero. Pero la compañía dijo que aproximadamente el 50 por ciento de los clientes de Oracle EBS no han implementado los parches hasta la fecha. Los defectos de seguridad podrían ser explotados por atacantes…

Actualización de seguridad para Adobe Flash Player, Adobe Experience Manager y Adobe Framemaker

Adobe ha lanzado actualizaciones de seguridad para las soluciones Adobe Flash Player, Adobe Experience Manager y Adobe Framemaker que resuelven un total de 10 vulnerabilidades, de las cuales 8 de ellas podrían permitir la ejecución de código. Adobe Flash Player La actualización de seguridad soluciona una vulnerabilidad crítica, con identificador CVE-2020-9633, que podría permitir la ejecución de código debido a un error de acceso a memoria previamente liberada. Versiones afectadas por el fallo: Adobe Flash Player Desktop Runtime versión 32.0.0.371 y anteriores. Adobe Flash Player for Google Chrome versión 32.0.0.371 y anteriores. Adobe Flash Player for Microsoft Edge and Internet…

Actualización de Seguridad de WordPress solventa múltiples vulnerabilidades XSS

La última versión de seguridad de WordPress 5.4.2, lanzada el pasado 10 de junio, contiene 23 correcciones y mejoras, que incluyen parches para seis vulnerabilidades XSS de riesgo moderado y otros errores de seguridad. Las fallas de seguridad están presentes en las versiones 5.4.1 y anteriores, por tanto, es importante actualizar. Para que se vean afectados por los riesgos de seguridad que fueron resueltos en la última versión de WordPress, se requiere un atacante autenticado. Esto significa que los administradores de sistemas que evitan que las personas se registren por sí mismas o que den acceso a personas desconocidas probablemente…

Vulnerabilidad en Facebook Messenger permite ejecución de malware

El investigador de Reason Labs, Shai Alfasi, descubrió un problema en la aplicación de escritorio de Facebook Messenger para Windows, que está disponible en Microsoft Store. El programa ejecuta un recurso en una ruta no existente, permitiendo ubicar un malware para su ejecución con el cliente de Facebook. El error detectado consiste en una llamada a la ruta «C:\python27\Powershell.exe», la cual corresponde a un directorio creado por el instalador del intérprete de Python, el directorio «c: \ python27» es una ubicación de baja integridad. Un malware podía crear esta misma ruta sin requerir privilegios de administrador para facilitar la ejecución del malware aprovechando…

Nueva vulnerabilidad en el protocolo SMBv3 de Windows permite a atacantes realizar ataques RCE y robo de datos

Se encontró una nueva vulnerabilidad de seguridad en el mecanismo de compresión del protocolo de comunicación de red Microsoft Server Message Block 3.1.1 (SMBv3) utilizado por varias versiones de Windows 10 y Windows Server. La falla de seguridad, rastreada como CVE-2020-1206 y nombrada SMBleed por investigadores de seguridad en el inicio de ciberseguridad ZecOps que la encontró, fue descubierta en la misma función detrás de SMBGhost, una vulnerabilidad de ejecución remota de código (RCE) preautorizada etiquetada como «wormable» por Microsoft y parcheado en marzo. SMBleed es un error de divulgación de información de cliente / servidor que permite a los…

Firefox y Chrome corrigen varias vulnerabilidades importantes esta semana

Los navegadores de Google y Mozilla han solventado catorce incidencias, una gran parte de ellas catalogadas como de severidad alta. Google ha corregido un total de seis vulnerabilidades que afectan a su navegador Google Chrome en su versión de escritorio, de las cuales cuatro han sido clasificadas como severidad alta. La más importante es una vulnerabilidad ‘use-after-free’ en WebAuthentication (CVE-2020-6493). El investigador que la detectó ha sido recompensado con 20.000 dólares. Las otras tres vulnerabilidades corresponden a otra vulnerabilidad ‘user-after-free’ en payments (CVE-2020-6496), una aplicación de políticas insuficiente en la herramienta de desarrollador (CVE-2020-6495), y por último la que se…

Fallas críticas en Cisco IOS permiten compromiso total de infraestructuras

Cisco ha revelado cuatro fallas críticas de seguridad que afectan al equipo enrutador que utiliza su software IOS XE e IOS. Los cuatro defectos críticos son parte del paquete de asesoramiento semestral del 3 de junio de Cisco para el software de red IOS XE e IOS, que incluye 23 avisos que describen 25 vulnerabilidades. El error de gravedad 9.8 de 10, CVE-2020-3227, se refiere a los controles de autorización para la infraestructura de alojamiento de aplicaciones Cisco IOx en el software Cisco IOS XE, que permite a un atacante remoto sin credenciales ejecutar comandos de API Cisco IOx sin…

Vulnerabilidades críticas en Zoom podrían conducir a la ejecución de código

Cisco Talos descubrió recientemente dos vulnerabilidades en la popular aplicación de video chat de Zoom que podrían permitir a un usuario malintencionado ejecutar código arbitrario en las máquinas de las víctimas. Ambas fallas en cuestión son vulnerabilidades path traversal que pueden explotarse para escribir o plantar archivos arbitrarios en los sistemas que ejecutan versiones vulnerables del software de videoconferencia con el fin de ejecutar código malicioso. Según los investigadores, la explotación exitosa de ambas fallas requiere poca o ninguna interacción por parte de los participantes del chat y puede ejecutarse simplemente enviando mensajes especialmente diseñados a través de la función…

Malware ‘Octopus Scanner’ compromete proyectos de código abierto en un ataque masivo a la cadena de suministro de GitHub

El equipo de GitHub Security Lab advirtió sobre una campaña de malware que se ha extendido en GitHub a través de proyectos Java comprometidos. Investigaciones posteriores mostraron que el malware, denominado Octopus Scanner, es capaz de identificar los archivos del proyecto NetBeans e incrustar cargas maliciosas tanto en los archivos del proyecto como en los archivos JAR. A continuación se muestra una descripción de alto nivel de la operación de Octopus Scanner: Identificar el directorio NetBeans del usuario Enumerar todos los proyectos en el directorio de NetBeans Copiar la carga maliciosa cache.dat en nbproject / cache.dat Modificar el archivo nbproject…

Vulnerabilidad de inyección de código en VMware Cloud Director

VMware ha abordado una vulnerabilidad con severidad alta de tipo inyección de código que afecta a su producto Cloud Director, la cual podría explotarse para tomar control de la infraestructura de los servicios en la nube. La vulnerabilidad, rastreada con identificador CVE-2020-3956, consiste en un problema de inyección de código que podría ser explotado por un atacante autenticado para enviar tráfico malicioso a Cloud Director, lo que podría permitir la ejecución de código arbitrario. Según la compañía, la vulnerabilidad puede ser explotada a través de las interfaces de usuario basadas en HTML5 y Flex, la interfaz API Explorer y el…