Actualizaciones de Adobe solventan fallos críticos que afectan a sus aplicaciones de Windows y macOS
Adobe ha lanzado actualizaciones de seguridad para solventar vulnerabilidades críticas que afectan a diez de sus productos Windows y macOS que podrían permitir a los atacantes ejecutar código arbitrario en dispositivos que ejecutan versiones de software vulnerables. Los productos de software parcheados hoy por Adobe incluyen Adobe Creative Cloud Desktop Application, Adobe InDesign, Adobe Media Encoder, Adobe Premiere Pro, Adobe Photoshop, Adobe After Effects, Adobe Animate, Adobe Dreamweaver, Adobe Illustrator y Marketo. Entre los fallos se destacan: APSB20-68, Adobe Creative Cloud Desktop (CVE-2020-24422): Adobe ha publicado una actualización de seguridad para Adobe InDesign que corrige una vulnerabilidad de ruta de…
Vulnerabilidades críticas en productos Intel
El pasado 10 de noviembre Intel hizo público 40 avisos de seguridad que abordan vulnerabilidades críticas, altas y medias en una gran variedad de productos, pero entre los más importantes se tienen, errores críticos que pueden ser explotados por ciberdelincuentes no autenticados para obtener privilegios escalonados. Entre las vulnerabilidades críticas se encuentra una falla en Intel AMT e Intel Standard Manageability (ISM), con identificador CVE-2020-8752, que se ubica en un 9,4 sobre 10 en la escala de vulnerabilidad y gravedad de CvSS, el cuál podría permitir que un usuario no autenticado habilite potencialmente escalada de privilegios a través del acceso…
Fallo crítico en el kernel de Linux permite ejecutar código mediante Bluetooth
Investigadores de Google, reportaron un conjunto de nuevas vulnerabilidades en el kernel de Linux, referentes al software de Bluetooth. El fallo permite a un atacante cercano, remoto y no autenticado, ejecutar código arbitrario con privilegios del kernel en los dispositivos vulnerables, nombrado como «Bleedingtooth». Estas vulnerabilidades se encuentra en el protocolo de BlueZ en el kernel Linux, los protocolos utilizados para controlar las conexiones Bluetooth. La primera y más grave vulnerabilidad con ID CVE-2020-12351, que cuenta con una puntuación CVSS de 8.3, que es una criticidad alta y afecta al kernel de Linux 4.8 o superior. La vulnerabilidad está presente…
Actualizaciones de seguridad para Windows y Visual Studio Code
Microsoft ha publicado dos actualizaciones de seguridad fuera de ciclo para corregir problemas críticos en la biblioteca de códecs de Windows y en la aplicación Visual Studio Code. Apenas unos días después de la publicación de los boletines mensuales de seguridad de Microsoft, la empresa de Redmond ha lanzado dos actualizaciones de emergencia para solventar nuevas vulnerabilidades que permitirían la ejecución remota de código en los sistemas afectados. Los nuevos fallos se seguridad están localizados en la biblioteca de códecs de Windows y en la aplicación Visual Studio Code. El primer error, identificado con el identificador CVE-2020-17022, está relacionado con la forma en que la biblioteca de…
Actualizaciones de seguridad para fallos críticos en VMware ESXi
VMware emitió una solución actualizada para una falla de ejecución remota de código de gravedad crítica en sus productos de hipervisor ESXi. El aviso de VMware del miércoles dijo que las versiones de parches actualizadas estaban disponibles después de que se descubrió que el parche anterior, lanzado el 20 de octubre, no abordó completamente la vulnerabilidad. Esto se debe a que ciertas versiones que se vieron afectadas no se trataron anteriormente en la actualización anterior. «Versiones de parche actualizadas en la matriz de respuesta de la sección 3a después del lanzamiento de los parches de ESXi que completaron la corrección…
Fallos severos en Cisco causarían denegación de servicio en varios de sus productos de seguridad
Cisco ha erradicado una gran cantidad de vulnerabilidades de alta gravedad en su línea de productos de seguridad de red, que permitirían a un atacante remoto no autenticado lanzar una serie de ataques maliciosos, desde la denegación de servicio (DoS) hasta la falsificación de solicitudes entre sitios (CSRF). Las vulnerabilidades existen en el software Firepower Threat Defense (FTD) de Cisco, que forma parte de su conjunto de productos de gestión de tráfico y seguridad de red; y su software Adaptive Security Appliance (ASA), el sistema operativo para su familia de dispositivos de seguridad de red corporativa ASA. «El equipo de…
Plugin Ultimate Member de WordPress es vulnerable y permite control total de los sitios web
Un complemento de WordPress instalado en más de 100.000 sitios tiene tres errores de seguridad críticos que permiten escalar privilegios y, potencialmente, un control total sobre un sitio de WordPress de destino. El complemento, llamado Ultimate Member, permite a los administradores web agregar perfiles de usuario y áreas de membresía a sus destinos web. Según los investigadores de Wordfence, las fallas hacen posible que tanto los atacantes autenticados como los no autenticados escalen sus privilegios durante el registro para alcanzar el estado de administrador. «Una vez que un atacante tiene acceso administrativo a un sitio de WordPress, se ha apoderado…
Vulnerabilidades presentes en CMS WordPress y en plugin WP Elementor
La firma de seguridad chilena Compunet descubrió una vulnerabilidad de día zero en el Plugin Elementor De WordPress. Elementor es un plugin popular para WordPress que permite construir sitios web de manera simple y rápida sin necesidad de conocimientos en desarrollo web. La vulnerabilidad detectada por la firma versa sobre un widget para Elementor: Dynamic OOO Plugin. Dicho plugin permite insertar código PHP directamente desde el frontend del sitio WordPress. Esto quiere decir que se trata de un widget que permite un mayor control sobre Elementor mediante código PHP personalizado que se inserta directamente sobre el backend de Elementor. La…
Vulnerabilidades críticas en WebLogic Server de Oracle permiten ejecución remota de código sin necesidad de autenticación
Oracle emitió una actualización de seguridad fuera de banda durante el fin de semana para abordar una vulnerabilidad crítica de ejecución remota de código (RCE) que afecta a múltiples versiones de Oracle WebLogic Server. La vulnerabilidad de seguridad registrada como CVE-2020-14750 recibió una puntuación base de gravedad de 9,8 de Oracle, de una puntuación máxima de 10. Los atacantes no autenticados pueden explotar de forma remota esta falla de RCE sin autenticación en el componente de la consola del servidor a través de HTTP, sin interacción del usuario, como parte de ataques de baja complejidad para potencialmente apoderarse de los…
Vulnerabilidad zero day en el kernel de Windows
Investigadores de Google reportan una vulnerabilidad zero day en el sistema operativo de Windows que actualmente está siendo explotada por ciberdelincuentes. La vulnerabilidad identificada con el ID CVE-2020-17087, podría provocar un desbordamiento de búfer debido al truncamiento incorrecto de enteros de 16 bits del controlador de criptografía del Kernel de Windows (cng.sys) que surge debido al erróneo procesamiento del controlador de entrada y salida del dispositivo (IOCTL) que faculta a un ciberdelincuente local para escalar privilegios. El zero day de Windows (aún no parcheado) se usa como parte de una cadena de exploits que también incluye un zero day de…