Vulnerabilidad Zero Day detectada en servicios de Google
Google ha emitido una actualización de seguridad urgente para abordar la quinta vulnerabilidad de Zero-Day, lo cual ha sido explotada activamente desde principios de 2023. La compañía ha confirmado que se conoce la existencia de un exploit para CVE-2023-5217. Esta vulnerabilidad se ha parcheado en la versión 117.0.5938.132 de Google Chrome, que se está distribuyendo actualmente a usuarios de Windows, Mac y Linux. Identificada como CVE-2023-5217 ( riesgo alto 8.8 ): este Zero-day abarca un problema de desbordamiento de búfer en la codificación VP8 de la biblioteca de códecs de vídeo libvpx de código abierto. Esta falla podría resultar en…
Vulnerabilidades detectadas en distintos productos de CISCO
En el panorama de seguridad digital, la identificación y corrección de vulnerabilidades es esencial para garantizar la integridad y funcionamiento óptimo de los sistemas. En este contexto, se han identificado doce vulnerabilidades significativas en productos de Cisco, las cuales se detallan en el siguiente informe. CVE-2023-20252 → Puntaje base CVSS: 9.8 (crítica) Se ha identificado una vulnerabilidad en las API del Sistema de Gestión de Red Cisco Catalyst SD-WAN que utiliza el lenguaje de marcado de aserción de seguridad (SAML). La causa de esta vulnerabilidad radica en la incorrecta verificación de autenticación en las API de SAML. Un atacante podría…
Vulnerabilidades Zero Day en Dispositivos Apple
Apple ha identificado tres vulnerabilidades críticas «Zero-Day» en su software, mismas que estaban siendo activamente explotadas. Estas vulnerabilidades permiten a los atacantes evadir controles de seguridad, obtener privilegios elevados y ejecutar código malicioso a través de contenido web manipulado. Detalle de las vulnerabilidades: CVE-2023-41991: Esta vulnerabilidad afecta al sistema de validación de certificados de Apple. Permite a aplicaciones maliciosas evitar la verificación de firmas digitales, potencialmente ejecutando código no autorizado. Un atacante podría ejecutar código malicioso en el dispositivo, lo que podría llevar al control total del sistema. CVE-2023-41992: Esta es una falla en el núcleo del sistema operativo. Permite…
Vulnerabilidad Crítica en GitLab: CVE-2023-5009
GitLab es una plataforma líder en gestión de repositorios de código, ha identificado y solucionado una grave vulnerabilidad de seguridad registrada como CVE-2023-5009 que tiene una severidad CRÍTICA con un puntaje base CVSS de 9.6. Esta vulnerabilidad permite a un atacante ejecutar canalizaciones como otro usuario, esto podría resultar en un acceso no autorizado a información confidencial y la capacidad de modificar el código fuente o ejecutar código arbitrario en el sistema afectado. Productos y Versiones Afectadas Todas las versiones GitLab Community Edition (CE) y Enterprise Edition (EE) a partir de: 13.12 hasta antes de la 16.2.7. 16.3 hasta antes…
Vulnerabilidad RCE Crítica en Trend Micro Apex One
Trend Micro, una empresa especializada en protección de sistemas informáticos, ha lanzado parches para solventar una vulnerabilidad crítica de Zero Day de ejecución remota de código (RCE), en las soluciones Apex One (protección de endpoints) y Worry-Free Business Security, que han sido explotadas activamente en ataques alrededor del mundo. Identificada como CVE-2023-41179 (con una puntuación CVSS de 9.1): esta relacionada con un módulo de desinstalación de antivirus de terceros que se incluye junto con el software, integrado en Trend Micro Apex One, disponible tanto en instalaciones locales como en su versión SaaS (Software como Servicio), así como en Worry-Free Business…
Varias vulnerabilidades afectan al navegador Microsoft Edge (basado en Chromium)
Microsoft Edge, un navegador web ampliamente utilizado por millones de usuarios en todo el mundo, no está exento de vulnerabilidades de seguridad, como cualquier otro programa. En una investigación reciente, Microsoft ha solucionado TRES vulnerabilidades en su navegador basado en Chromium. Estas vulnerabilidades podrían haber posibilitado a los atacantes la capacidad de falsificar sitios web, obtener niveles de acceso más altos en el sistema o incluso evadir las medidas de seguridad del navegador. Detalle de vulnerabilidades CVE-2023-36735 → Puntaje base CVSS: 9.6 (Crítica) Esta vulnerabilidad permite una fuga del entorno aislado (sandbox) del navegador. Esta es una característica de seguridad,…
Vulnerabilidad en Productos de Palo Alto Networks
Palo Alto ha publicado un nuevo aviso de seguridad que contempla una vulnerabilidad con severidad Alta, la cual afecta a distintas versiones de PAN-OS. Nombrada como CVE-2023-38802 (CVSSv3: 7.5) esta es una vulnerabilidad de Denegación de Servicio (DoS) en Software BGP. CVE-2023-38802: Esta vulnerabilidad afecta al software BGP, específicamente a “FRRouting FRR”, que forma parte de la función de enrutamiento virtual en PAN-OS. Permite a un atacante remoto restablecer incorrectamente las sesiones de red mediante una actualización BGP inválida. Importante tener en cuenta que este problema solo se aplica a firewalls configurados con enrutadores virtuales que tienen BGP habilitado. Para…
Vulnerabilidad Zero Day afecta a productos Adobe
Adobe ha lanzado una actualización de seguridad con el propósito de abordar una vulnerabilidad alta en sus aplicaciones Adobe Acrobat y Reader. Es importante destacar que este problema afecta tanto a sistemas operativos Windows como a macOS. Esta vulnerabilidad registrada como CVE-2023-26369 con una puntuación CVSS de 7.8, implica una escritura fuera de límites (out-of-bounds write), en caso de que esta vulnerabilidad sea explotada con éxito podría resultar en la ejecución de código remoto al abrir un documento PDF. Adobe ha decidido no publicar información adicional sobre los pormenores de la vulnerabilidad. Además, la empresa ha confirmado que la vulnerabilidad…
Vulnerabilidad SMTP Passback (CVE-2023-3251) en Nessus de Tenable
Se ha descubierto una vulnerabilidad importante en Nessus, una destacada herramienta de escaneo de vulnerabilidades. Esta brecha representa un riesgo significativo para la seguridad de los sistemas y datos confidenciales. En este contexto, se explorará la naturaleza de la vulnerabilidad, sus posibles consecuencias y las medidas recomendadas para mitigar su impacto. La vulnerabilidad CVE-2023–3251 es una vulnerabilidad de pasividad que existe en Nessus, una herramienta de auditoría de seguridad de red. La vulnerabilidad permite a un atacante autenticado con privilegios de administrador obtener las credenciales SMTP almacenadas en la aplicación Nessus. La vulnerabilidad se produce porque Nessus no valida adecuadamente…
Vulnerabilidad Zero Day detectada en productos Mozilla
El martes, Mozilla lanzó actualizaciones de seguridad para abordar una vulnerabilidad crítica Zero Day en Firefox y Thunderbird. Esta vulnerabilidad había sido aprovechada activamente en entornos reales; fue anunciada un día después de que Google publicara una solución para una vulnerabilidad similar en su navegador Chrome. La vulnerabilidad, identificada como CVE-2023-4863, de nivel 9.8, crítico, se relaciona con un «desbordamiento de búfer» en el formato de imagen WebP y podría permitir la ejecución de código malicioso al procesar una imagen especialmente diseñada. Mozilla advirtió que «abrir una imagen WebP maliciosa podría causar un desbordamiento de búfer en el proceso de…