Descubre dispositivos vulnerables a Foreshadow (L1TF) de Intel

2018 ha sido un año bastante difícil para Intel. Investigadores académicos y del sector privado revelaron la semana pasada, tres nuevas vulnerabilidades en las CPU de Intel, a las que llamaron “Foreshadow” y “Foreshadow-NG”, y que Intel ha referido como “L1 Terminal Fault” (L1TF). Son vulnerabilidades de ejecución especulativa, una característica para mejorar el rendimiento de la CPU, y que pueden ser explotadas por malware y máquinas virtuales maliciosas para robar información secreta de la memoria de la computadora. Lansweeper ha preparado un Reporte Foreshadow para ayudar a encontrar exploits en la red. Foreshadow es un ataque de ejecución especulativa en Leer más…

Fallo de seguridad en WordPress permite borrar archivos del servidor

WordPress contiene una vulnerabilidad que podría permitir a un atacante la eliminación de toda la instalación de WordPress y archivos del servidor. WordPress 4.9.6, y anteriores, son vulnerables.  El atacante que explote la vulnerabilidad podría escalar privilegios desde una cuenta con un rol bajo como Author, o mediante la explotación de otra vulnerabilidad/configuración incorrecta. El atacante podría eliminar cualquier archivo de la instalación de WordPress así como otros archivos del servidor en el que el usuario del proceso de PHP tenga permisos para eliminar. Podría borrar toda la instalación de WordPress. El atacante podría utilizar la capacidad de eliminación arbitraria Leer más…

Adobe corrige fallo de seguridad crítico en Flash Player objeto de ataques a usuarios de Windows

Adobe ha publicado una actualización de seguridad para Adobe Flash Player para Windows, MacOS, Linux y Chrome OS. La actualización corrige vulnerabilidades críticas en Adobe Flash Player 29.0.0.171 y versiones anteriores. Un atacante que explote con éxito las vulnerablidades, podría tomar ejecutar código en el sistema vulnerable, en el contexto del usuario actual. El exploit para la vulnerabilidad, catalogada como CVE-2018-5002, se está utilizando en ataques dirigidos y limitados contra usuarios de Windows que tienen instalada la versión vulnerable de Flash Player. Los ataques utilizan documentos de Office con contenido incrustado malicioso de Flash Player y que son distribuidos por correo electrónico. Es Leer más…

Martes de Parches Marzo 2018

Microsoft corrige 14 vulnerabilidades críticas de seguridad. El martes de parches de este mes, Microsoft ha publicado actualizaciones de seguridad para 74 vulnerabilidades en sus productos: Internet Explorer Microsoft Edge Microsoft Windows Microsoft Office and Microsoft Office Services and Web Apps Microsoft Exchange Server ASP.NET Core .NET Core PowerShell Core ChakraCore Adobe Flash De las actualizaciones publicadas, 14 son de severidad Crítica, en los navegadores Internet Explorer y Edge. Es recomendable verificar que las actualizaciones sean aplicadas, en particular las catalogadas como críticas ya que alguna de las vulnerabilidades corregidas podría ser explotada permitiendo la ejecución remota de código sin interacción con Leer más…

Vulnerabilidad de Skype permite la elevación de privilegios y parcharla no es fácil

El instalador de actualizaciones de Skype tiene una vulnerabilidad que de ser explotada permitiría la elevación de privilegios a nivel de administrador, con los cuales el atacante podría hacer todo tipo de acciones en el sistema vulnerado. El problema es que Microsoft, dueño de la popular aplicación para llamadas de audio y video, y de chat, ha dicho que la solución implica un gran trabajo de re-escritura de código, por lo que en lugar de parche es mejor una nueva versión de Skype. Es decir, la vulnerabilidad está presente y se desconoce cuándo salga la nueva versión de Skype que la Leer más…

Martes de Parches Febrero 2018

Microsoft corrige 14 vulnerabilidades críticas de seguridad. El martes de parches de este mes, Microsoft ha publicado actualizaciones de seguridad para 50 vulnerabilidades en sus productos: Internet Explorer Microsoft Edge Microsoft Windows Microsoft Office and Microsoft Office Services and Web Apps ChakraCore Adobe Flash De las actualizaciones publicadas, 14 son de severidad Crítica. Parches adicionales han sido publicados para corregir las vulnerabilidades Meltdown y Spectre. Dar prioridad a la actualización de Office ya que corrige dos vulnerabilidades en Outlook. Una que podría permitir la ejecución remota de código y dar al atacante el control del sistema si el usuario cuenta con derechos administrativos. Leer más…

Martes de Parches Enero 2018

Microsoft corrige 16 vulnerabilidades críticas de seguridad. El martes de parches de este mes, Microsoft ha publicado actualizaciones de seguridad para 56 vulnerabilidades en sus productos: Internet Explorer Microsoft Edge Microsoft Windows Microsoft Office and Microsoft Office Services and Web Apps SQL Server ChakraCore .NET Framework .NET Core ASP.NET Core Adobe Flash De las actualizaciones publicadas, 16 son de severidad Crítica, que se suman a las actualizaciones que la semana pasada Microsoft publicó para corregir los fallos críticos Meltdown y Spectre. Dar prioridad a la actualización de Office ya que corrige una vulnerabilidad de día cero que está siendo objeto de ataques Leer más…

Martes de Parches Diciembre 2017

Microsoft corrige 19 vulnerabilidades críticas de seguridad. El martes de parches de este mes, ha sido algo ligero. Microsoft ha publicado actualizaciones de seguridad para 32 vulnerabilidades en: Internet Explorer Microsoft Edge Microsoft Windows Microsoft Office and Microsoft Office Services and Web Apps Microsoft Exchange Server Chakra Core Microsoft Malware Protection Engine De las actualizaciones publicadas, 19 son de severidad Crítica y se encuentran en los navegadores de Microsoft, Internet Explorer y Edge. Es recomendable verificar que las actualizaciones sean aplicadas, en particular las catalogadas como críticas ya que alguna de las vulnerabilidades corregidas podría ser explotada permitiendo la ejecución remota de Leer más…