ASI
Posted on
Etiqueta: Día-Cero
Fallo de día cero en Windows bajo ataques de explotación: Proyecto Cero de Google
El Proyecto Cero de Google ha reportado que un error en el controlador de criptografía del kernel de Windows está siendo objeto de ataques de explotación en Internet. El error -advierte- está sujeto a un plazo de divulgación de 7 días. Proyecto Cero es un equipo de analistas de seguridad de Google que tienen como objetivo encontrar ataques de día cero. Su política de divulgación de vulnerabilidades es a los 90 días de descubrirlas o cuando el parche está disponible, lo que ocurra primero. El reporte, publicado el 22 de octubre, indica que el controlador de criptografía del kernel de Leer más…
Divulgados cuatro fallos de seguridad sin parche en Windows
Zero Day Initiative (ZDI) ha publicado el 19 de mayo de 2020, cuatro avisos sobre vulnerabilidades descubiertas en el sistema operativo Windows, de Microsoft, que podrían permitir a un atacante obtener privilegios del sistema. ZDI ha publicado las vulnerabilidades, conforme con su política de divulgación de vulnerabilidades sin corregir por más de 120 días. Se espera que Microsoft actúe pronto para facilitar el parche oficial que resuelva los fallos día-cero. Mientras, su divulgación las coloca bajo la categoría de vulnerabilidades día-cero. Tres vulnerabilidades, catalogadas como CVE-2020-0915, CVE-2020-0916 y CVE-2020-0986, afectan al archivo splwow64.exe, el host de controlador de impresora que Leer más…
Fallo día-cero de seguridad en Internet Explorer
Una nueva vulnerabilidad de día-cero se ha encontrado en el navegador Internet Explorer, que está siendo objeto de ataques de explotación dirigidos y limitados, de acuerdo con un aviso de Microsoft. La vulnerabilidad es de ejecución remota de código y se encuentra en la forma en que el motor de secuencias de comandos maneja los objetos en memoria en Internet Explorer y se activa a través de la biblioteca JScript.dll. La vulnerabilidad podría dañar la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario actual. Un atacante que aprovechara la vulnerabilidad con éxito Leer más…
Google recomienda actualizar Windows 7 a 10 por fallo crítico de seguridad
Google está recomendando a los usuarios de Windows 7 actualizar su sistema a Windows 10 debido a la existencia de una vulnerabilidad crítica de seguridad sin parchar. Se trata de una vulnerabilidad en el controlador del kernel de Windows, win32k.sys, que de ser explotada con éxito permite la elevación de privilegios locales. Por el momento el fallo de seguridad sólo es explotable en sistemas Windows 7 de 32 bits. Las versiones más recientes de Windows están protegidas por las mitigaciones de explotación que tienen incorporadas. El fallo de día cero es objeto de ataques dirigidos para su explotación en los Leer más…
Chrome corrige fallo crítico de seguridad objeto de ataques de explotación
Google ha publicado una actualización del navegador Chrome que corrige una vulnerabilidad crítica de día cero actualmente sujeta a ataques de explotación en Internet. Los detalles de la vulnerabilidad han sido restringidos por Google y serán comunicados hasta que la mayoría de los usuarios hayan sido actualizados con una solución. La restricción también aplica en el caso de que el fallo exista en una biblioteca de terceros no solucionada. La vulnerabilidad ha sido catalogada como CVE-2019-5786 y tiene que ver con la corrupción de memoria en sistemas Windows, MacOS y Linux. Denominada como Use-after-free en FileReader, el fallo día cero Leer más…
Fallo día-cero de seguridad en Windows 10 permitiría el borrado de archivos
Un fallo crítico de seguridad, ahora de día-cero, existe en Windows 10 que, de ser explotado con éxito, el atacante podría borrar cualquier tipo de archivo en la máquina víctima, incluyendo archivos de datos del sistema vulnerado. La vulnerabilidad es conocida como Deletebug y fue descubierta por @SandboxEscaper. El fallo se encuentra en el servicio de intercambio de datos de Microsoft (dssvc.dll) y la prueba de concepto divulgada demuestra cómo la explotación del fallo permite que un atacante borre archivos DLL. Esto fuerza su búsqueda en otros lugares del sistema y de llegar a una ubicación de escritura daría la oportunidad al Leer más…
Fallo día-cero de seguridad en Internet Explorer y Edge
Los investigadores de seguridad de Project Zero, de Google, han confirmado la existencia de una vulnerabilidad día-cero de seguridad en los navegadores Microsoft Internet Explorer y Microsoft Edge, incluyendo la prueba de concepto del fallo de seguridad. La revelación del fallo fue hecha debido a que Microsoft no la ha corregido, pasados los 90 días de que fuera notificado de la vulnerabilidad ahora convertida de día-cero por no haber parche oficial. La vulnerabilidad fue reportada el 25-Nov-2016. Se encuentra en el manejo de tipos (type) y de ser aprovechada mediante código HTML especialmente diseñado para explotar la vulnerabilidad podría permitir a Leer más…
Otro fallo día-cero de seguridad en Windows, ahora en GDI
Ya van dos fallos día-cero de seguridad que se conocen en el popular sistema operativo. Los investigadores de seguridad de Project Zero, de Google, han confirmado la existencia de una vulnerabilidad día-cero de seguridad en los sistemas Windows, incluyendo la prueba de concepto del fallo de seguridad. La revelación del fallo fue hecha debido a que Microsoft no la ha corregido, pasados los 90 días de que fuera notificado de la vulnerabilidad ahora convertida de día-cero por no haber parche oficial. Apenas empezando febrero un investigador divulgó una vulnerabilidad día-cero en Windows 10, Windows 8.1, Windows Server 2016, y Windows Server 2012 R2. La Leer más…