Adobe corrige fallos críticos de seguridad en productos InDesign y Framemaker
Adobe ha publicado actualizaciones de seguridad para abordar doce vulnerabilidades críticas que podrían hacer posible que los atacantes ejecuten código arbitrario en dispositivos que ejecutan versiones vulnerables de Adobe InDesign, Adobe Framemaker y Adobe Experience Manager. Los fallos de seguridad, corregidos hoy, corresponden a severidad crítica, y podrían permitir a un atacante la ejecución arbitraria de código JavaScript en el navegador web a través de ataques Cross-Site Scripting o fallos de divulgación de información confidencial mediante la ejecución con privilegios innecesarios. Adobe aconseja a los usuarios que actualicen las aplicaciones vulnerables a las últimas versiones lo antes posible para bloquear…
WhatsApp hace públicos 6 fallos de seguridad recientemente solventados
WhatsApp, aplicación de mensajería instantánea propiedad de Facebook, ha hecho público seis fallos de seguridad solventados en sus principales clientes de mensajería instantánea. Las vulnerabilidades han sido reportadas al equipo de seguridad de WhatsApp y también a través del programa de BugBounty que alberga Facebook. A continuación, los fallos encontrados: CVE-2020-1894: Un desbordamiento de escritura de pila presente en WhatsApp para Android para versiones previas a v2.20.35, WhatsApp Business para Android para versiones previas a v2.20.20, WhatsApp para iPhone para versiones previas a v2.20.30 y WhatsApp Business para iPhone para versiones previas a v2.20.30, podría permitir la ejecución de código…
Fallo crítico en plugin File Manager afecta a más de 700 mil sitios WordPress
Ayer, se actualizó el administrador de archivos del complemento de WordPress, solucionando una vulnerabilidad crítica que permite a cualquier visitante del sitio web obtener acceso completo al sitio web. La vulnerabilidad se originó a partir de configuraciones residuales presente en la versión 6.4, presentes hace casi 4 meses, donde se cambió el nombre de un archivo para probar ciertas características. El archivo renombrado se agregó accidentalmente al proyecto en lugar de mantenerse como un cambio local. El archivo original, proporcionado por una dependencia de terceros elFinder, originalmente tenía la extensión .php.dist y debía usarse como ejemplo de código o referencia…
Fallo crítico en aplicación de escritorio de Slack permite acceder a conversaciones y canales privados
Una vulnerabilidad crítica en la popular aplicación de colaboración de Slack permitiría la ejecución remota de código (RCE). Los atacantes podrían obtener un control remoto total sobre la aplicación de escritorio de Slack con un exploit exitoso y, por lo tanto, acceder a canales privados, conversaciones, contraseñas, tokens y claves, y varias funciones. También podrían penetrar aún más en una red interna, dependiendo de la configuración de Slack, según un informe de seguridad. El fallo fue publicado el viernes pasado e involucra ataques de Cross-Site Scripting (XSS) e inyección de HTML, que afectan al cliente de Slack para escritorio (Mac…
Cisco advierte sobre fallos de seguridad en IOS XR
Cisco advirtió el sábado pasado 29 de Agosto, sobre una nueva vulnerabilidad de día cero que afecta al sistema operativo IOS de sus equipos de red, routers y switches. Las vulnerabilidades, identificadas como CVE-2020-3566 y CVE-2020-3569, afecta la función del Protocolo de enrutamiento de multidifusión de vector de distancia (DVMRP), presente en la versión XR del sistema operativo IOS. Cisco dice que la función DVMRP contiene un error que permite a un atacante remoto no autenticado agotar la memoria del proceso y bloquear otros procesos que se ejecutan en el dispositivo. «La vulnerabilidad se debe a una gestión insuficiente de…
Vulnerabilidad en Safari permite robo de archivos mediante la API Web Share
Se ha descubierto una nueva vulnerabilidad que afecta al navegador Safari, la cual permitiría a un atacante robar archivos de usuario. El fallo de seguridad se debe en cómo Apple implementa la nueva API «Web Share» de Safari, a través de la cual los usuarios pueden compartir archivos desde su computadora. La vulnerabilidad se aprovecha del uso de enlaces con el esquema «file://» para añadir un fichero en el mensaje que se va a compartir. Los investigadores del grupo REDTEAM descubrieron que la API es capaz de compartir archivos almacenados en el disco duro de un usuario cambiando el esquema…
Popular SDK de iOS es acusado de espiar a miles de millones de usuarios y cometer fraude publicitario
Un popular kit de desarrollo de software (SDK) de iOS utilizado por más de 1200 aplicaciones, con un total de más de mil millones de usuarios móviles, contiene código malicioso con el objetivo de perpetrar fraudes de clics en anuncios móviles y capturar información confidencial. Según un informe publicado por la empresa de ciberseguridad Snyk, Mintegral, use detalla un componente SDK que permite recopilar URL, identificadores de dispositivo, dirección IP, versión del sistema operativo y otros datos confidenciales de los usuarios, para ser enviados. El SDK de iOS malicioso ha sido llamado «SourMint» por los investigadores de Snyk. «El código…
CISA, Treasury, FBI y USCYBERCOM publican una alerta cibernética sobre el último plan de robo bancario de Corea del Norte
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), Treasury, la Oficina Federal de Investigaciones FBI y el Comando Cibernético de Estados Unidos (USCYBERCOM) están emitiendo una alerta técnica conjunta sobre cajero automático (ATM), el esquema de retiro de efectivo por parte de los actores cibernéticos del gobierno de Corea del Norte, el gobierno de Estados Unidos se refiere a ellos como «FASTCash 2.0: BeagleBoyz Robando Bancos de Corea del Norte». La alerta conjunta proporciona nuevos detalles importantes sobre la reanudación de un esquema de robo de bancos cibernético de Corea del Norte dirigido a bancos en varios países para…
Cisco solventa fallos de severidad alta que afectan a equipos switches y de storage
Cisco Systems reveló ocho errores de alta gravedad que afectan a una variedad de su equipo de red, incluidos sus conmutadores y soluciones de almacenamiento de fibra. El NX-OS de Cisco fue el más afectado, con seis alertas de seguridad vinculadas al sistema operativo de red que sustenta los conmutadores Ethernet de la serie Nexus y los conmutadores de red de área de almacenamiento Fibre Channel de la serie MDS. Los parches están disponibles para todas las vulnerabilidades, según un aviso de seguridad de Cisco publicado el miércoles. Además de los ocho errores de alta gravedad parcheados, Cisco también corrigió…
Google Chrome 85 corrige vulnerabilidad de ejecución de código
Google Chrome corrige una vulnerabilidad de severidad alta que podría permitir la ejecución de código arbitrario. La vulnerabilidad, registrada bajo el ID CVE-2020-6492, se debe a que el componente WebGL del navegador Chrome no maneja correctamente los objetos en la memoria. Este componente es una API de JavaScript que permite a los usuarios representar gráficos 2D y 3D dentro de su navegador. Según el ataque de prueba de concepto (PoC) descrito por los investigadores de Cisco Talos, el problema existe en función de ANGLE, llamado «State :: syncTextures». Esta función es responsable de verificar si la textura tiene «DirtyBits». Estos…