Apple repara varias vulnerabilidades de día cero en su última actualización de iOS
Apple ha parcheado recientemente tres vulnerabilidades de día cero de iOS explotadas activamente, y que afectan a los dispositivos iPhone, iPad e iPod. La lista de dispositivos afectados incluye iPhone 6s y posteriores, iPod touch de séptima generación, iPad Air 2 y posteriores, y iPad mini 4 y posteriores. Los días cero fueron solventados por Apple con el lanzamiento de iOS 14.2, la última versión estable del sistema operativo móvil. También afectan a otros dispositivos y plataformas de Apple, incluidos: Mac con versiones de macOS Catalina anteriores a macOS Catalina 10.15.7iPads con versiones de iPadOS anteriores a iOS 14.2Relojes Apple…
Microsoft Patch Tuesday de Noviembre 2020 solventa 17 fallos críticos
El resumen de las correcciones de seguridad de Microsoft Patch Tuesday de noviembre, abordó una cantidad inusualmente grande de errores de ejecución remota de código (RCE). Doce de los diecisiete parches críticos de Microsoft estaban vinculados a errores de RCE. En total, Microsoft reparó 112 vulnerabilidades, 93 calificadas como importantes y dos con severidad baja. Microsoft identificó como CVE-2020-17087 una vulnerabilidad de elevación de privilegios local sobre el kernel de Windows. La semana pasada, Google Project Zero reveló el error, que informó que la falla estaba siendo explotada en la naturaleza junto con una falla de Google Chrome (CVE-2020-15999), que…
Actualizaciones de Adobe solventan fallos críticos que afectan a sus aplicaciones de Windows y macOS
Adobe ha lanzado actualizaciones de seguridad para solventar vulnerabilidades críticas que afectan a diez de sus productos Windows y macOS que podrían permitir a los atacantes ejecutar código arbitrario en dispositivos que ejecutan versiones de software vulnerables. Los productos de software parcheados hoy por Adobe incluyen Adobe Creative Cloud Desktop Application, Adobe InDesign, Adobe Media Encoder, Adobe Premiere Pro, Adobe Photoshop, Adobe After Effects, Adobe Animate, Adobe Dreamweaver, Adobe Illustrator y Marketo. Entre los fallos se destacan: APSB20-68, Adobe Creative Cloud Desktop (CVE-2020-24422): Adobe ha publicado una actualización de seguridad para Adobe InDesign que corrige una vulnerabilidad de ruta de…
Vulnerabilidades críticas en productos Intel
El pasado 10 de noviembre Intel hizo público 40 avisos de seguridad que abordan vulnerabilidades críticas, altas y medias en una gran variedad de productos, pero entre los más importantes se tienen, errores críticos que pueden ser explotados por ciberdelincuentes no autenticados para obtener privilegios escalonados. Entre las vulnerabilidades críticas se encuentra una falla en Intel AMT e Intel Standard Manageability (ISM), con identificador CVE-2020-8752, que se ubica en un 9,4 sobre 10 en la escala de vulnerabilidad y gravedad de CvSS, el cuál podría permitir que un usuario no autenticado habilite potencialmente escalada de privilegios a través del acceso…
Fallo crítico en el kernel de Linux permite ejecutar código mediante Bluetooth
Investigadores de Google, reportaron un conjunto de nuevas vulnerabilidades en el kernel de Linux, referentes al software de Bluetooth. El fallo permite a un atacante cercano, remoto y no autenticado, ejecutar código arbitrario con privilegios del kernel en los dispositivos vulnerables, nombrado como «Bleedingtooth». Estas vulnerabilidades se encuentra en el protocolo de BlueZ en el kernel Linux, los protocolos utilizados para controlar las conexiones Bluetooth. La primera y más grave vulnerabilidad con ID CVE-2020-12351, que cuenta con una puntuación CVSS de 8.3, que es una criticidad alta y afecta al kernel de Linux 4.8 o superior. La vulnerabilidad está presente…
Actualizaciones de seguridad para Windows y Visual Studio Code
Microsoft ha publicado dos actualizaciones de seguridad fuera de ciclo para corregir problemas críticos en la biblioteca de códecs de Windows y en la aplicación Visual Studio Code. Apenas unos días después de la publicación de los boletines mensuales de seguridad de Microsoft, la empresa de Redmond ha lanzado dos actualizaciones de emergencia para solventar nuevas vulnerabilidades que permitirían la ejecución remota de código en los sistemas afectados. Los nuevos fallos se seguridad están localizados en la biblioteca de códecs de Windows y en la aplicación Visual Studio Code. El primer error, identificado con el identificador CVE-2020-17022, está relacionado con la forma en que la biblioteca de…
Actualizaciones de seguridad para fallos críticos en VMware ESXi
VMware emitió una solución actualizada para una falla de ejecución remota de código de gravedad crítica en sus productos de hipervisor ESXi. El aviso de VMware del miércoles dijo que las versiones de parches actualizadas estaban disponibles después de que se descubrió que el parche anterior, lanzado el 20 de octubre, no abordó completamente la vulnerabilidad. Esto se debe a que ciertas versiones que se vieron afectadas no se trataron anteriormente en la actualización anterior. «Versiones de parche actualizadas en la matriz de respuesta de la sección 3a después del lanzamiento de los parches de ESXi que completaron la corrección…
Fallos severos en Cisco causarían denegación de servicio en varios de sus productos de seguridad
Cisco ha erradicado una gran cantidad de vulnerabilidades de alta gravedad en su línea de productos de seguridad de red, que permitirían a un atacante remoto no autenticado lanzar una serie de ataques maliciosos, desde la denegación de servicio (DoS) hasta la falsificación de solicitudes entre sitios (CSRF). Las vulnerabilidades existen en el software Firepower Threat Defense (FTD) de Cisco, que forma parte de su conjunto de productos de gestión de tráfico y seguridad de red; y su software Adaptive Security Appliance (ASA), el sistema operativo para su familia de dispositivos de seguridad de red corporativa ASA. «El equipo de…
Plugin Ultimate Member de WordPress es vulnerable y permite control total de los sitios web
Un complemento de WordPress instalado en más de 100.000 sitios tiene tres errores de seguridad críticos que permiten escalar privilegios y, potencialmente, un control total sobre un sitio de WordPress de destino. El complemento, llamado Ultimate Member, permite a los administradores web agregar perfiles de usuario y áreas de membresía a sus destinos web. Según los investigadores de Wordfence, las fallas hacen posible que tanto los atacantes autenticados como los no autenticados escalen sus privilegios durante el registro para alcanzar el estado de administrador. «Una vez que un atacante tiene acceso administrativo a un sitio de WordPress, se ha apoderado…
Vulnerabilidades presentes en CMS WordPress y en plugin WP Elementor
La firma de seguridad chilena Compunet descubrió una vulnerabilidad de día zero en el Plugin Elementor De WordPress. Elementor es un plugin popular para WordPress que permite construir sitios web de manera simple y rápida sin necesidad de conocimientos en desarrollo web. La vulnerabilidad detectada por la firma versa sobre un widget para Elementor: Dynamic OOO Plugin. Dicho plugin permite insertar código PHP directamente desde el frontend del sitio WordPress. Esto quiere decir que se trata de un widget que permite un mayor control sobre Elementor mediante código PHP personalizado que se inserta directamente sobre el backend de Elementor. La…