Vulnerabilidad en Google Drive podría permitir ataques de malware
Se ha hecho público una falla de seguridad en Google Drive, el popular servicio colaborativo de almacenamiento en la nube, la cual podría permitir a los atacantes engañar a los usuarios para distribuir archivos maliciosos disfrazados de documentos o imágenes legítimos. La vulnerabilidad reside en la función «manage versions» de Google Drive, la cual permite a los usuarios cargar y administrar diferentes versiones de un archivo. Según el reporte realizado por A. Nikoci, la herramienta permite realizar el cambio de versiones sin verificar que la nueva versión del archivo tenga la misma extensión que la versión anterior, lo que permite…
Actualizaciones de Seguridad Urgentes en Adobe
Adobe emite soluciones de emergencia para vulnerabilidades críticas en Photoshop, Bridge, Prelude, Reader Mobile. Los avisos de seguridad revelaron un total de 13 vulnerabilidades, 12 de las cuales se consideran críticas, ya que si se explotan, pueden conducir a la ejecución de código arbitrario. Los productos afectados de estas vulnerabilidades críticas son los siguientes: Photoshop CC 2019 versiones 20.0.9 y anteriores. Photoshop 2020 versiones 21.2 y anteriores en máquinas con Windows. (CVE-2020-9683, CVE-2020-9686, CVE-2020-9684, CVE-2020-9685 y CVE-2020-9687) Adobe Bridge versiones 10.1.1 y anteriores tanto en Windows como en macOS. (CVE-2020-9675, CVE-2020-9674 y CVE-2020 -9676) Adobe Prelude en las versiones 9.0…
Samsung corrigió fallas críticas en teléfonos Galaxy
Se ha hecho público cuatro (4) vulnerabilidades de severidad crítica detectadas en «Find My Mobile», una función precargada en los smartphones de Samsung Galaxy que ayuda a los usuarios a encontrar sus dispositivos extraviados, las cuales al ser explotadas podrían permitir a los atacantes forzar un restablecimiento de fábrica en los teléfonos o espiar a los usuarios. Los investigadores de la firma Char49, indicaron que las vulnerabilidades fueron notificadas por primera vez a Samsung el 21 de febrero de 2019 y que la compañía de teléfonos inteligentes las solucionó en silencio el 7 de abril de 2019. Sin embargo, las…
Actualizaciones de seguridad de Microsoft – Agosto 2020
El 11 de agosto, Microsoft lanzó parches de seguridad para remediar alrededor de 120 vulnerabilidades en Microsoft Windows, Edge (EdgeHTML-based y Chromium-based), ChakraCore, Internet Explorer (IE), Microsoft Scripting Engine, SQL Server, .NET Framework, ASP.NET Core, Office and Office Services and Web Apps, Windows Codecs Library y Microsoft Dynamics. En lo que va del año Microsoft ha lanzado parches para 862 vulnerabilidades, 11 más de lo registrado en todo 2019. Este volumen ejerce presión sobre el equipo de administración de parches, dado que de continuar al mismo ritmo hasta finalizar el año 2020 se habrán lanzado alrededor de 1300 parches de…
Fallo en navegadores basados en Chromium exponen a millones de usuarios a robo de datos
Una vulnerabilidad presente en los navegadores basados en Chromium de Google permitiría a los atacantes eludir la política de seguridad de contenido (CSP) en los sitios web, para así robar datos y ejecutar código malicioso. El fallo, identificado como CVE-2020-6519, se encuentra en Chrome, Opera y Edge, en Windows, Mac y Android, lo que podría afectar a miles de millones de usuarios web, según el investigador de ciberseguridad de PerimeterX, Gal Weizman. Para explotar la vulnerabilidad, un atacante primero necesita obtener acceso al servidor web (mediante fuerza bruta de contraseñas u otro método), para poder modificar el código JavaScript que…
Se publica vulnerabilidad zero-day de tipo RCE que afecta a vBulletin
Un investigador de seguridad reveló el 11 de agosto pasado, detalles sobre una prueba de concepto para una vulnerabilidad crítica (zero-day) de ejecución remota de código que afecta al conocido software de foros de Internet vBulletin, que ya está bajo explotación activa. vBulletin es un paquete de software de foro de Internet basado en el servidor de base de datos PHP y MySQL que funciona con más de 100.000 sitios web en Internet, incluidos los sitios web y foros de empresas del top Fortune 500. En septiembre del año pasado, un investigador de seguridad anónimo reveló de forma pública una…
Vulnerabilidad crítica en TeamViewer para Windows permitiría a un atacante remoto robar la contraseña del sistema
El equipo de TeamViewer lanzó recientemente una nueva versión de su software que incluye un parche para la vulnerabilidad bajo ID CVE 2020-13699, en caso de que sea explotada, podría permitir que atacantes remotos roben la contraseña del sistema y eventualmente lo comprometan. La criticidad de la vulnerabilidad radica en que para ser explotada no requiere de mayor interacción con las víctimas, solo es necesario convencerlas de visitar una página web maliciosa una vez. La vulnerabilidad reside en la forma en que TeamViewer cita sus controladores URI personalizados. En términos simples, un atacante puede aprovechar el esquema de URI de…
Vulnerabilidades en plugin Newsletter afectan a más de 300 mil sitios WordPress
Se ha hecho público nuevas vulnerabilidades descubiertas en Newsletter, un plugin de WordPress instalado en más de 300,000 sitios, la cual podría permitir a los atacantes ejecutar código malicioso e incluso tomar control del sitio. El complemento Newsletter brinda a los usuarios del CMS WordPress las herramientas necesarias para crear boletines de noticias y lanzar campañas vía email a través de un editor visual. Los fallos detectados corresponden a una vulnerabilidad de cross-site scripting (XSS) cuya explotación exitosa podría permitir a los atacantes inyectar código malicioso en una ventana web, y una vulnerabilidad de inyección de objetos PHP la cual…
Vulnerabilidad crítica en plugin ‘wpDiscuz’ de WordPress
Se ha hecho público una vulnerabilidad crítica en wpDiscuz, un plugin de WordPress instalado en más de 80,000 sitios, la cual podría permitir a los atacantes ejecutar código malicioso de forma remota en servidores que alojan sitios web vulnerables. El complemento wpDiscuz es un sistema de comentarios receptivos en tiempo real dentro que permite a los usuarios mantener sus comentarios en la base de datos de instalaciones WordPress. En una versión reciente del complemento, se agregó una opción para que los usuarios agreguen archivos adjuntos en sus comentarios. Su implementación carecía de protecciones de seguridad y creó una falla crítica…
Actualizaciones de seguridad para Google Chrome.
Google ha lanzado la versión 84.0.4147.105 de Chrome para Windows, Mac y Linux. En esta versión se remedian las vulnerabilidades registradas bajo los ID CVE-2020-6537, CVE-2020-6538, CVE-2020-6532, CVE-2020-6539, CVE-2020-6540 y CVE-2020-6541 que permitían a un atacante ejecutar código remoto arbitrario y además activar una denegación de servicio del sistema afectado. Al momento no existen exploits publicados para estas vulnerabilidades. Telconet como proveedor de servicios de telecomunicaciones, consciente de la importancia de resguardar integridad y disponibilidad de su red, recomienda: Actualizar su navegador Chrome a la versión 84.0.4147.105 con carácter inmediato. En la página oficial de Google Chrome para ayuda a…