Google Chrome corrige nuevas vulnerabilidades
Google ha lanzado una actualización de seguridad para su navegador web Chrome, corrigiendo varias vulnerabilidades, entre las cuales se encuentra una falla de Zero Day identificada como CVE-2024-3159. La misma fue explotada con éxito durante la reciente competencia de hacking Pwn2Own Vancouver 2024 por Edouard Bochin y Tao Yan de Palo Alto Networks. Versiones afectadas: Solución: Google Chrome ha lanzado versiones actualizadas que solucionan las vulnerabilidades previamente descritas. Recomendaciones: Referencias:
Múltiples vulnerabilidades detectadas en Apache Fineract
Apache Fineract, una solución bancaria central de código abierto ampliamente utilizada por instituciones financieras, ha lanzado parches de seguridad para abordar tres vulnerabilidades, una de las cuales ha sido clasificada como crítica. Estas vulnerabilidades podrían potencialmente permitir a los atacantes ejecutar consultas maliciosas en la base de datos o escalar privilegios sin autorización. Versiones afectadas: Solución: Recomendaciones: Referencias:
Backdoor encontrado en librerías XZ Utils utilizados en distribuciones Linux
XZ Utils es una herramienta de compresión de datos presente en casi todas las distribuciones de Linux, que sirve para comprimir formatos de archivos grandes en tamaños más pequeños y manejables para ser compartidos. Se encontró un backdoor en las librerías XZ Utils mediante el cual los atacantes podrían vulnerar el protocolo SSH y tomar control del sistema. La compilación maliciosa resultante interfiere con la autenticación en sshd a través de systemd. SSH es un protocolo comúnmente utilizado para conectarse remotamente a sistemas y sshd es el servicio que permite el acceso. En las circunstancias adecuadas, esta interferencia podría permitir…
Google Chrome Corrige Vulnerabilidades Zero Day
Google ha solventado 7 vulnerabilidades en su motor de búsqueda Chrome, entre las cuales se tiene dos vulnerabilidades catalogadas como Zero Day, mismas que fueron explotadas durante la competencia de hacking Pwn2Own Vancouver 2024. A continuación, se detallan estas dos vulnerabilidades Zero Day: UAF es una vulnerabilidad relacionada con el uso incorrecto de la memoria dinámica durante la operación del programa. Productos Afectados Solución: Actualizar a la versión 123.0.6312.86/.87 para Windows/MacOS y 123.0.6312.86 para Linux, que abordan estas vulnerabilidades. Mantener el software actualizado es esencial para garantizar la seguridad y el rendimiento óptimo de su navegador. Recomendaciones: Referencias:
Vulnerabilidades críticas en plugins de WordPress
Se han revelado nuevas vulnerabilidades que afectan a distintos productos de WordPrees, estas fallas representan graves riesgos de seguridad y requieren atención inmediata para mitigar cualquier posible explotación. El primer producto afectado es la versión premium de WordPress Automatic Plugin, una opción popular para automatizar las importaciones de contenido en sitios web de WordPress. Contiene dos vulnerabilidades de severidad crítica que se detallan a continuación: CVE-2024-27956 (CVSS: 9.8): es una vulnerabilidad de SQL Injection, se debe a la falta de validación en el parámetro proporcionado por el usuario y conocimientos insuficientes de SQL. Los atacantes pueden aprovechar esta falla para…
Vulnerabilidades afectan a productos Mozilla
Mozilla ha lanzado actualizaciones de seguridad urgentes para el navegador Firefox (versión 124, Firefox ESR 115.9) y el cliente de correo Thunderbird (versión 115.9), abordando diversas vulnerabilidades que podrían dejar a los usuarios expuestos a ataques graves. Estas fallas incluyen una vulnerabilidad crítica de ejecución remota de código, así como varios errores de alto riesgo que podrían permitir a los atacantes escapar de los sandbox de seguridad, provocar fallas en el sistema, robar datos o manipular configuraciones. Productos y versiones afectadas Solución Recomendaciones Referencias Para mayor información sobre la vulnerabilidad descrita, consultar los siguientes enlaces:
Actualizaciones de Windows Server provocan fallos y reinicios del controlador de dominio
Según informes proporcionados por algunos administradores de Windows de BleepingComputer, las actualizaciones de Windows Server del Patch Tuesday de marzo del 2024 están provocando que ciertos controladores de dominio fallen y se reinicien. Los servidores afectados se congelan y reinician debido al aumento del uso de memoria del proceso Local Security Authority Subsystem Service (LSASS) en Windows Server 2016 y Windows Server 2022. LSASS es un servicio de Windows que aplica políticas de seguridad y maneja los inicios de sesión de los usuarios, la creación de tokens de acceso y los cambios de contraseña. Un administrador de Windows de BleepingComputer…
Microsoft corrige múltiples vulnerabilidades en su Patch Tuesday de marzo 2024
Microsoft realiza actualizaciones de seguridad con su Patch Tuesday de marzo 2024, en el que se aborda una serie de vulnerabilidades en una amplia gama de sus productos, entre estos se tienen: Microsoft Windows y sus componentes, Office y sus componentes, Azure, .NET Framework y Visual Studio, SQL Server, Windows Hyper-V, Skype, Microsoft Components para Android y Microsoft Dynamics. Además, en esta actualización de seguridad se han corregido cinco fallos adicionales relacionados con Chromium. Dos de las vulnerabilidades, identificadas como CVE-2024-21407 y CVE-2024-21408, han sido calificadas como críticas, mientras que las 57 restantes se clasifican con severidad media y alta…
Vulnerabilidades críticas en Lenovo.
Se ha reportado recientemente tres vulnerabilidades en productos de la marca Lenovo, las cuales representan riesgos significativos para la seguridad de los sistemas afectados, identificadas como CVE-2023-39281, CVE-2023-39283 y CVE-2023-39284, todas con una puntuación de 8.2 en la escala CVSS. CVE-2023-39281: Es una vulnerabilidad de stack buffer overflow, la cual ocurre cuando un programa intenta escribir más datos en un búfer de memoria de lo que puede contener. Esto puede provocar que los datos sobrescriban áreas de memoria adyacentes y ser aprovechado por un atacante para modificar el comportamiento del programa o ejecutar código malicioso. CVE-2023-39283: Afecta al System Managment…
Vulnerabilidad crítica afecta a Microsoft Outlook
Mediante una prueba de concepto (PoC) se ha detectado la vulnerabilidad crítica identificada como CVE-2024-21378, la cual permitiría la ejecución de código remoto (RCE) afectando a Microsoft Outlook. Esta falla de seguridad permite a los atacantes ejecutar código malicioso de forma remota, otorgándoles un control extenso y dándoles acceso no autorizado al sistema afectado. Como medida de seguridad, es crucial aplicar los parches lanzados por Microsoft para mitigar el riesgo. La vulnerabilidad se centra en los objetos IPM.Microsoft.FolderDesign.FormsDescription, estos tienen propiedades y archivos adjuntos especiales que facilitan la “instalación” del formulario cuando un cliente lo utiliza por primera vez. El…