ASI
Posteado en
Etiqueta: Vulnerabilidad
Chrome corrige fallo crítico de seguridad objeto de ataques de explotación
Google ha publicado una actualización del navegador Chrome que corrige una vulnerabilidad crítica de día cero actualmente sujeta a ataques de explotación en Internet. Los detalles de la vulnerabilidad han sido restringidos por Google y serán comunicados hasta que la mayoría de los usuarios hayan sido actualizados con una solución. La restricción también aplica en el caso de que el fallo exista en una biblioteca de terceros no solucionada. La vulnerabilidad ha sido catalogada como CVE-2019-5786 y tiene que ver con la corrupción de memoria en sistemas Windows, MacOS y Linux. Denominada como Use-after-free en FileReader, el fallo día cero Leer más…
Fallo de seguridad en visor PDF de Chrome permite el robo de datos
Se ha reportado un fallo de seguridad en el navegador Google Chrome que permite la fuga de información vía archivos PDF. La vulnerabilidad puede ser explotada al usar el visor de archivos PDF de Chrome. No se detectó actividad maliciosa al abrir el archivo PDF con Adobe Reader. Los investigadores de seguridad de EdgeSpot publicaron el descubrimiento, señalando que desde finales de diciembre de 2018 han detectado múltiples muestras de PDF que explotan el fallo de seguridad de Google Chrome. La vulnerabilidad explotada permite al atacante rastrear a los usuarios y recopilar información de algunos usuarios cuando utilizan Google Chrome Leer más…
Vulnerabilidad en LibreOffice y Apache OpenOffice permite la ejecución remota de código
Las suites gratuitas para la productividad en oficinas contienen una vulnerabilidad que podría permitir a un atacante la ejecución remota de código. Para ello es suficiente con que el usuario víctima abra un archivo ODT malicioso y mueva el mouse sobre el documento, sin activar ningún cuadro de diálogo de advertencia. La vulnerabilidad (CVE-2018-16858) fue descubierta por Alex Inführ y afecta a LibreOffice y Apache OpenOffice para Windows y Linux. En su publicación de la vunerabilidad, Inführ expone la prueba de concepto de su explotación. La vulnerabilidad afecta a todas las versiones de OpenOffice y a todas las versiones de LibreOffice hasta 6.0.6/6.1.2.1 Leer más…
Microsoft corrige fallo de seguridad en Internet Explorer objeto de ataques dirigidos
Microsoft publicó hoy una actualización de seguridad para Internet Explorer para corregir una vulnerabilidad que se está utilizando en ataques dirigidos. La vulnerabilidad se encuentra en la forma en que el motor de secuencias de comandos maneja los objetos en memoria en Internet Explorer. Afecta a Windows 7, 8.1, y 10, así como Windows Server 2008, 2012, 2016 y 2019. Un ataque exitoso podría permitir al atacante la ejecución de código arbitrario en el contexto del usuario actual. El atacante tendría que persuadir al usuario para que visite un sitio web especialmente diseñado para explotar la vulnerabilidad. La técnica de Leer más…
Fallo día-cero de seguridad en Windows 10 permitiría el borrado de archivos
Un fallo crítico de seguridad, ahora de día-cero, existe en Windows 10 que, de ser explotado con éxito, el atacante podría borrar cualquier tipo de archivo en la máquina víctima, incluyendo archivos de datos del sistema vulnerado. La vulnerabilidad es conocida como Deletebug y fue descubierta por @SandboxEscaper. El fallo se encuentra en el servicio de intercambio de datos de Microsoft (dssvc.dll) y la prueba de concepto divulgada demuestra cómo la explotación del fallo permite que un atacante borre archivos DLL. Esto fuerza su búsqueda en otros lugares del sistema y de llegar a una ubicación de escritura daría la oportunidad al Leer más…
Descubre dispositivos vulnerables a Foreshadow (L1TF) de Intel
2018 ha sido un año bastante difícil para Intel. Investigadores académicos y del sector privado revelaron la semana pasada, tres nuevas vulnerabilidades en las CPU de Intel, a las que llamaron “Foreshadow” y “Foreshadow-NG”, y que Intel ha referido como “L1 Terminal Fault” (L1TF). Son vulnerabilidades de ejecución especulativa, una característica para mejorar el rendimiento de la CPU, y que pueden ser explotadas por malware y máquinas virtuales maliciosas para robar información secreta de la memoria de la computadora. Lansweeper ha preparado un Reporte Foreshadow para ayudar a encontrar exploits en la red. Foreshadow es un ataque de ejecución especulativa en Leer más…
Fallo de seguridad en WordPress permite borrar archivos del servidor
WordPress contiene una vulnerabilidad que podría permitir a un atacante la eliminación de toda la instalación de WordPress y archivos del servidor. WordPress 4.9.6, y anteriores, son vulnerables. El atacante que explote la vulnerabilidad podría escalar privilegios desde una cuenta con un rol bajo como Author, o mediante la explotación de otra vulnerabilidad/configuración incorrecta. El atacante podría eliminar cualquier archivo de la instalación de WordPress así como otros archivos del servidor en el que el usuario del proceso de PHP tenga permisos para eliminar. Podría borrar toda la instalación de WordPress. El atacante podría utilizar la capacidad de eliminación arbitraria Leer más…
Adobe corrige fallo de seguridad crítico en Flash Player objeto de ataques a usuarios de Windows
Adobe ha publicado una actualización de seguridad para Adobe Flash Player para Windows, MacOS, Linux y Chrome OS. La actualización corrige vulnerabilidades críticas en Adobe Flash Player 29.0.0.171 y versiones anteriores. Un atacante que explote con éxito las vulnerablidades, podría tomar ejecutar código en el sistema vulnerable, en el contexto del usuario actual. El exploit para la vulnerabilidad, catalogada como CVE-2018-5002, se está utilizando en ataques dirigidos y limitados contra usuarios de Windows que tienen instalada la versión vulnerable de Flash Player. Los ataques utilizan documentos de Office con contenido incrustado malicioso de Flash Player y que son distribuidos por correo electrónico. Es Leer más…