Noticias de Seguridad

VMware corrige vulnerabilidad crítica en Workstation y Fusion.

VMware lanzó actualizaciones de seguridad para corregir múltiples vulnerabilidades en VMware ESXi, Workstation y Fusion, siendo una de ellas un error crítico en las configuraciones predeterminadas de Workstation y Fusion que tienen gráficos 3D habilitados. La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) también  emitió una alerta  hoy advirtiendo que un «atacante podría explotar algunas de estas vulnerabilidades para tomar el control de un sistema afectado», y alentando a los usuarios y administradores a actualizar lo antes posible. Vulnerabilidad crítica con un puntaje base de 9.3 CVSSv3 El problema crítico de seguridad rastreado como  CVE-2020-3962  es una  falla de uso libre en…

Vulnerabilidad en Cisco Webex Meetings permite acceso no autorizado a videoconferencias

Una nueva vulnerabilidad encontrada en el cliente Cisco Webex Meetings para Windows podría permitir a un atacante local autenticado obtener acceso a información confidencial. El fallo se debe al uso inseguro de la memoria compartida que utiliza el software afectado. Un atacante con permisos para ver la memoria del sistema podría aprovechar esta vulnerabilidad al ejecutar una aplicación en el sistema local diseñada para leer la memoria compartida. Una explotación exitosa podría permitir al atacante recuperar información confidencial de la memoria compartida, incluidos nombres de usuario, información de reuniones o tokens de autenticación que podrían ayudar al atacante en futuros…

Drupal repara fallos críticos de seguridad en todas las versiones del CMS

El equipo de desarrollo de Drupal ha publicado actualizaciones de seguridad importantes para su herramienta de administración de contenido de código abierto. Estas actualizaciones corrigen dos vulnerabilidad críticas y una de criticidad moderada. La publicación muestra cómo estas vulnerabilidades pueden ser aprovechadas por un atacante para comprometer el funcionamiento y la disponibilidad del sitio. Los boletines de seguridad sa-core-2020-004, sa-core-2020-005 y sa-core-2020-006 reportan sobre los fallos de seguridad presentes en el CMS, e involucran ejecución de código arbitrario (RCE), ataques del lado del cliente (CSRF) y redirección abierta. Drupal ha confirmado que actualmente se encuentran disponibles los parches de seguridad….

Vulnerabilidades de Oracle E-Business Suite permitirían secuestro de operaciones comerciales

En un informe publicado por la empresa de ciberseguridad Onapsis, se revelaron detalles técnicos sobre las vulnerabilidades que informó en E-Business Suite (EBS) de Oracle, un grupo integrado de aplicaciones diseñadas para automatizar CRM, ERP y SCM operaciones para organizaciones. Oracle parchó las dos vulnerabilidades, denominadas «BigDebIT» y calificó con un puntaje CVSS de 9.9, en una actualización de parche crítico (CPU) lanzada a principios de enero. Pero la compañía dijo que aproximadamente el 50 por ciento de los clientes de Oracle EBS no han implementado los parches hasta la fecha. Los defectos de seguridad podrían ser explotados por atacantes…

Actualización de seguridad para Adobe Flash Player, Adobe Experience Manager y Adobe Framemaker

Adobe ha lanzado actualizaciones de seguridad para las soluciones Adobe Flash Player, Adobe Experience Manager y Adobe Framemaker que resuelven un total de 10 vulnerabilidades, de las cuales 8 de ellas podrían permitir la ejecución de código. Adobe Flash Player La actualización de seguridad soluciona una vulnerabilidad crítica, con identificador CVE-2020-9633, que podría permitir la ejecución de código debido a un error de acceso a memoria previamente liberada. Versiones afectadas por el fallo: Adobe Flash Player Desktop Runtime versión 32.0.0.371 y anteriores. Adobe Flash Player for Google Chrome versión 32.0.0.371 y anteriores. Adobe Flash Player for Microsoft Edge and Internet…

Actualización de Seguridad de WordPress solventa múltiples vulnerabilidades XSS

La última versión de seguridad de WordPress 5.4.2, lanzada el pasado 10 de junio, contiene 23 correcciones y mejoras, que incluyen parches para seis vulnerabilidades XSS de riesgo moderado y otros errores de seguridad. Las fallas de seguridad están presentes en las versiones 5.4.1 y anteriores, por tanto, es importante actualizar. Para que se vean afectados por los riesgos de seguridad que fueron resueltos en la última versión de WordPress, se requiere un atacante autenticado. Esto significa que los administradores de sistemas que evitan que las personas se registren por sí mismas o que den acceso a personas desconocidas probablemente…

Vulnerabilidad en Facebook Messenger permite ejecución de malware

El investigador de Reason Labs, Shai Alfasi, descubrió un problema en la aplicación de escritorio de Facebook Messenger para Windows, que está disponible en Microsoft Store. El programa ejecuta un recurso en una ruta no existente, permitiendo ubicar un malware para su ejecución con el cliente de Facebook. El error detectado consiste en una llamada a la ruta «C:\python27\Powershell.exe», la cual corresponde a un directorio creado por el instalador del intérprete de Python, el directorio «c: \ python27» es una ubicación de baja integridad. Un malware podía crear esta misma ruta sin requerir privilegios de administrador para facilitar la ejecución del malware aprovechando…

Nueva vulnerabilidad en el protocolo SMBv3 de Windows permite a atacantes realizar ataques RCE y robo de datos

Se encontró una nueva vulnerabilidad de seguridad en el mecanismo de compresión del protocolo de comunicación de red Microsoft Server Message Block 3.1.1 (SMBv3) utilizado por varias versiones de Windows 10 y Windows Server. La falla de seguridad, rastreada como CVE-2020-1206 y nombrada SMBleed por investigadores de seguridad en el inicio de ciberseguridad ZecOps que la encontró, fue descubierta en la misma función detrás de SMBGhost, una vulnerabilidad de ejecución remota de código (RCE) preautorizada etiquetada como «wormable» por Microsoft y parcheado en marzo. SMBleed es un error de divulgación de información de cliente / servidor que permite a los…

Firefox y Chrome corrigen varias vulnerabilidades importantes esta semana

Los navegadores de Google y Mozilla han solventado catorce incidencias, una gran parte de ellas catalogadas como de severidad alta. Google ha corregido un total de seis vulnerabilidades que afectan a su navegador Google Chrome en su versión de escritorio, de las cuales cuatro han sido clasificadas como severidad alta. La más importante es una vulnerabilidad ‘use-after-free’ en WebAuthentication (CVE-2020-6493). El investigador que la detectó ha sido recompensado con 20.000 dólares. Las otras tres vulnerabilidades corresponden a otra vulnerabilidad ‘user-after-free’ en payments (CVE-2020-6496), una aplicación de políticas insuficiente en la herramienta de desarrollador (CVE-2020-6495), y por último la que se…

Fallas críticas en Cisco IOS permiten compromiso total de infraestructuras

Cisco ha revelado cuatro fallas críticas de seguridad que afectan al equipo enrutador que utiliza su software IOS XE e IOS. Los cuatro defectos críticos son parte del paquete de asesoramiento semestral del 3 de junio de Cisco para el software de red IOS XE e IOS, que incluye 23 avisos que describen 25 vulnerabilidades. El error de gravedad 9.8 de 10, CVE-2020-3227, se refiere a los controles de autorización para la infraestructura de alojamiento de aplicaciones Cisco IOx en el software Cisco IOS XE, que permite a un atacante remoto sin credenciales ejecutar comandos de API Cisco IOx sin…