Nueva actualización de seguridad en Google Chrome
Google ha lanzado la última versión de su navegador Chrome, que incluye 24 correcciones de seguridad. Esta actualización, disponible para Windows, macOS y Linux, promete mejorar la funcionalidad y abordar varios problemas críticos. A continuación, destacamos las correcciones que aportaron investigadores externos para aquellas que son consideradas con severidad ALTA. Si bien esta actualización no incluye correcciones para ninguna vulnerabilidad «crítica», la presencia de varios problemas de gravedad «alta» subraya la importancia de actualizar el navegador Chrome lo antes posible. Versiones afectadas: Solución: Recomendaciones: Referencias:
Nueva vulnerabilidad en dispositivos NetScaler de CITRIX
El Centro Nacional de Operaciones de Ciberseguridad (CSOC) del NHS Inglaterra ha emitido una alerta de ciberseguridad debido a nueva información de CrowdStrike sobre la vulnerabilidad CVE-2023-6548 en los dispositivos NetScaler Gateway y NetScaler ADC de Citrix. Inicialmente clasificada con severidad media, esta vulnerabilidad ha sido reevaluada y ahora se considera crítica. CVE-2023-6548 (CVSS 8.8): Esta vulnerabilidad implica un control inadecuado de la generación de código (Inyección de Código), lo cual permite la ejecución remota de código autenticado (con privilegios reducidos) en la interfaz de administración, inicialmente divulgada por Citrix con un puntaje CVSSv3 de 5.5. Sin embargo, un análisis…
Vulnerabilidad crítica en Docker Engine y Docker Desktop
Docker ha emitido un aviso de seguridad por una vulnerabilidad crítica, CVE-2024-41110, que afecta a ciertas versiones de Docker Engine y Docker Desktop. Los complementos de AuthZ están diseñados para aplicar controles de acceso granulares dentro del entorno de Docker Engine. Sin embargo, la regresión permite a los atacantes crear solicitudes de API que eludan estas comprobaciones, lo que podría otorgarles permisos no autorizados. La explotación requiere acceso a la API de Docker, lo que normalmente requiere acceso local a la máquina a menos que el daemon esté configurado de forma insegura. Productos y versiones afectadas: Solución: Recomendaciones: Referencias:
Exploit Zero Day “EvilVideo” en Telegram para Android
Investigadores de ESET descubrieron un exploit de Zero Day, identificado como EvilVideo, en Telegram para Android. Esta falla podría permitir a atacantes remotos ejecutar código arbitrario en el dispositivo de la víctima a través de un video malicioso. En su configuración predeterminada, la aplicación Telegram en Android descarga automáticamente archivos multimedia, por lo que los participantes del canal reciben la carga útil en su dispositivo una vez que abren la conversación. Para los usuarios que han desactivado la descarga automática, un solo toque en la vista previa del video es suficiente para iniciar la descarga del archivo. Cuando los usuarios…
Vulnerabilidades críticas en Cisco SSM y Cisco Secure Email Gateway
Cisco ha emitido alertas de seguridad para abordar dos vulnerabilidades críticas en sus productos Smart Software Manager (SSM) y Secure Email Gateway. Estas vulnerabilidades, identificadas como CVE-2024-20419 y CVE-2024-20401, presentan graves riesgos de seguridad que podrían permitir a los atacantes tomar el control de las cuentas de usuario y realizar cambios no autorizados en los sistemas afectados. Productos y Versiones Afectadas: Solución: Recomendaciones: Referencias:
Nueva vulnerabilidad en enrutadores CISCO
Cisco ha emitido un aviso de seguridad en el que advierte a los usuarios sobre una vulnerabilidad en sus enrutadores VPN Gigabit de WAN dual RV340 y RV345. Esta vulnerabilidad, identificada como CVE-2024-20416, podría permitir que un atacante autenticado ejecute de forma remota código arbitrario en los dispositivos afectados. Productos y versiones afectadas: Firmware del enrutador Cisco Small Business versión 1.0.03.24 o posterior en sus productos: Solución: Recomendaciones: Referencias:
Actualización de seguridad de Google Chrome aborda múltiples vulnerabilidades
Google ha lanzado una actualización de seguridad para su navegador web Chrome que corrige múltiples fallas, entre las cuales se aborda diez vulnerabilidades, de las cuales ocho son consideradas de severidad alta. Estas actualizaciones fueron reportadas por investigadores externos y abordan principalmente problemas de seguridad de memoria que podrían llevar a la ejecución de código remoto. Productos y Versiones afectadas: Solución: Recomendaciones: Referencias:
Vulnerabilidades en Apache HTTP Server
Apache Software Foundation ha emitido un aviso de seguridad sobre dos vulnerabilidades críticas, las cuales plantean riesgos significativos para los servidores web en todo el mundo, lo que podría derivar en la divulgación del código fuente y en ataques de falsificación de solicitudes del lado del servidor (SSRF). Productos y versiones afectadas: Solución: Recomendaciones: Referencias:
Múltiples vulnerabilidades en Apache Linkis
Apache Linkis, un middleware de computación popular utilizado para conectar aplicaciones con motores de datos, ha lanzado parches de seguridad para abordar tres vulnerabilidades críticas en su módulo DataSource. Estas vulnerabilidades podrían permitir a los atacantes leer archivos arbitrarios, ejecutar código remoto y realizar ataques de inyección Java Naming and Directory Interface (JNDI). Versiones afectadas: Solución: Recomendaciones: Referencias:
Actualización de CrowdStrike crashea sistemas Windows
Crowdstrike es una empresa global de seguridad cibernética que proporciona herramientas de detección y monitoreo a equipos cibernéticos y de TI. Se ha reportado un problema generalizado que está provocando que los equipos con sistema operativo WINDOWS y que llevan instaladas distintas versiones de los sensores de CrowdStrike enfrenten un error de pantalla azul (BSOD), el cual ocasiona que el sistema operativo se apague o reinicie de manera inesperada. Se ha confirmado que este problema no afecta a los equipos con Linux. El error ha impactado a múltiples empresas, instituciones bancarias, aerolíneas y oficinas gubernamentales a nivel mundial. El jueves…