El pasado martes, Microsoft liberó una importantísima actualización de seguridad para Windows 10 con la que se parchea una grave vulnerabilidad encontrada en este sistema y Windows Server 2016/2019. Para hacerla patente Saleem Rashid hizó un "rickrolling" doble, dado que lo que se limitó a hacer Rashid fue aprovecharse de la vulnerabilidad crítica descubierta en Windows 10 para hacer que tanto el navegador Microsoft Edge como Google Chrome falsifiquen los sitios webs de la NSA y GitHub con la verificación HTTPS incluida.

Investigadores de Chaitin Tech en China dieron a conocer información sobre un nuevo descubrimiento, pues han identificado una vulnerabilidad en el popular contenedor de servlets. Esta vulnerabilidad permite en la configuración predeterminada enviar una solicitud a través del puerto de red 8009 para leer el contenido de cualquier archivo del directorio de la aplicación web, incluidos los archivos de configuración y los códigos fuente de la aplicación.

Las vulnerabilidades en Intel son el pan de cada día, pero ahora es peor, y es que el susbistema CSME de los procesadores de la compañía son vulnerables y no se puede hacer nada. Si bien este problema se detectó el año pasado y fue parcheado mediante una mitigación del sistema, ahora conocemos que esto no sirve de nada, es más, no se puede parchear, y la única posibilidad existente para resolver el problema es cambiar a un procesador de 10ª Generación, o pasar de todo y comprarte un AMD Ryzen, claro.

Un nuevo informe de la Universidad de Graz ha señalado dos formas de aprovechar una vulnerabilidad en los procesadores de AMD (específicamente, en el predictor de caché L1D). Según este informe, dichas vulnerabilidades afectarían a todos los modelos de procesadores que han visto la luz desde 2011 a 2019, lo que incluiría a las últimas generaciones, las llamadas Zen. Dada la tendencia al alta de AMD en el mercado de los semiconductores, se espera que en el futuro crezca el interés por explotar sus artículos y se descubran más vulnerabilidades.

La vulnerabilidad descubierta afecta al sistema operativo Windows y podría permitir a un ciberdelincuente robar el nombre de usuario de la víctima y el hash de la contraseña de acceso. La contraseña no es enviada en texto plano, pero si fuera débil, un ciberdelincuente podría descubrirla con facilidad. Además, valiéndose de la misma vulnerabilidad, el ciberdelincuente podría ejecutar archivos y programas del equipo atacado. Afecta a usuarios de Zoom para Windows con versiones anteriores a la 4.6.9

Investigadores de la Universidad Libre de Amsterdam han identificado una nueva vulnerabilidad (CVE-2020-0543) en las estructuras de microarquitectura de los procesadores Intel, la cual es notable por el hecho de que permite restaurar los resultados de algunas instrucciones ejecutadas en otro núcleo del CPU. Esta es la primera vulnerabilidad del mecanismo de ejecución especulativa de instrucciones, que permite la fuga de datos entre núcleos de CPU separados (anteriormente, las fugas se limitaban a diferentes subprocesos de un núcleo.

Si esta mañana conocíamos a CrossTalk, antes de cerrar el día toca hablar de SGAxe, otra vulnerabilidad que afecta a los procesadores de Intel. Su propio nombre ya nos indica de que va el ataque, y es que es una vulnerabilidad que rompe la seguridad de los servicios de Intel Software Guard eXtensions (SGX), que buscan proteger el funcionamiento interno de un sistema junto con datos vitales como contraseñas y claves de cifrado.

Últimamente los procesadores de Intel son más comentados por sus problemas que por aspectos como el rendimiento. Desde que en 2018 aparecieran las vulnerabilidades Spectre y Meltdown, el goteo de vulnerabilidades no ha cesado. La última ha sido CrossTalk, una vulnerabilidad recientemente reportada y que no es la última. Parece que JetBrains, un proveedor checo de software tiene una herramienta Java denominado Intellij que provoca la caída del sistema operativo.

Google lanzó actualización para Chrome que repara vulnerabilidad de alta severidad en el componente de audio del navegador y confirma existencia de un exploit para este fallo que está siendo utilizado activamente. Registrada como CVE-2021-21166, esta vulnerabilidad es de las más severas de las 47 reparadas por Google con la última actualización a la versión 89.0.4389.72 de Google Chrome que lanzó el martes de esta semana. Si bien la compañía explicó que no dará mayores detalles sobre esta falla en particular hasta que varios usuarios hayan…

Hace unos días, un grupo de criptógrafos internacionales descubrieron cuatro vulnerabilidades asociadas al protocolo de cifrado de una de las aplicaciones de mensajería instantánea más populares del mundo, Telegram. Según el profesor Kenneth G. Paterson, uno de los investigadores autores de este descubrimiento, ha diferenciado el grado de dificultad desde triviales hasta errores tremendamente complejos de producir o meramente de carácter teórico. Además, ha comunicado que estas cuatro vulnerabilidades podrían haberse evitado.

Un experto en seguridad ruso apodado illusionofchaos ha hecho públicas cuatro vunerabilidades graves en iOS, tres de las cuales no han sido parcheadas aún, después de que Apple supuestamente ignorara sus mensajes durante medio año. Según su propia narración de los hechos, Apple corrigió una de estas vulnerabilidades con iOS 14.7. Las otras tres siguen presentes en iOS 15, como confirmó en Twitter Kosta Eleftheriou. Estas vulnerabilidades permiten explotar el Game Center de iOS para extraer datos personales críticos del usuario.

De la grave vulnerabilidad Log4Shell (que afecta a la librería open source Log4J permitiendo ataques de ejecución de código remoto) hemos hablado ya en esta última semana: desde las condiciones en que trabajan los desarrolladores encargados de parchearla, hasta la presencia de la vulnerabilidad en uno de los vehículos de la NASA que está explorando ahora mismo marte.

AMD no ha arrancado 2023 con muy bien pie, y es que a los problemas de las Radeon RX 7900 XTX, ahora se le suman problemas de vulnerabilidad en sus CPU Ryzen y EPIC. Fue la propia compañía la que anunció que muchos de sus procesadores se han visto comprometidos por medio de 31 nuevas vulnerabilidades.

Heartbleed, la vulnerabilidad que afecta a cientos de miles de servidores de Internet, podría hacer que unas 1.300 aplicaciones de Android estuvieran indefensas, según un análisis que ha hecho la empresa software de seguridad Trend Micro entre más de 390.000 aplicaciones de Google Play.

Se ha descubierto una grave vulnerabilidad en WhatsApp que puede exponer nuestra ubicación a ojos de hackers. Según unos investigadores del grupo Cyber Forensics Research & Education, de la Universidad de New Haven, el servicio que nos permite compartir nuestra localización en WhatsApp podría exponer nuestra ubicación a hackers y agencias de espionaje

La empresa de seguridad FireEye ha descubierto recientemente una vulnerabilidad en Internet Explorer que da vía libre a ataques "zero-day"...

Últimamente se ha informado de una vulnerabilidad de Facebook en relación con una cuestión de privacidad, que deberían tener en cuenta. La vulnerabilidad permite a los atacantes descubrir (o reconstruir) la lista de amigos privados de cualquier usuario de Facebook.

Oracle se ha tenido que poner las pilas. Era inevitable, ya que muchos de sus productos tienen tantos fallos de seguridad que los trabajadores de la compañía han tenido que estar trabajando en un total de 113 vulnerabilidades que será corregidas durante las próximas horas. Aunque lo malo es que esa gran cantidad de fallos atañen a una buena cantidad de sus productos, por lo que no han podido hacer otra cosa que ponerse manos a la obra, si no querían ver como sus propios usuarios huían ante los errores.

La firma Exodus Intelligence ha informado de una vulnerabilidad crítica en el sistema operativo Tails.

Como podemos ver en la gráfica que acompaña al artículo Internet Explorer fue el navegador más vulnerable durante la primera mitad de 2014.