Microsoft sigue adelante con un ambicioso plan (Proyecto Verona) para eliminar las vulnerabilidades comunes que se esconden en el antiguo código de Windows mediante el uso de una implementación del lenguaje de programación de código abierto Rust. Algo que ya dijo en 2016 el entonces director de estrategia de Mozilla Research, Dave Herman: "Nuestras mediciones preliminares muestran que el componente Rust funciona maravillosamente y ofrece resultados idénticos al componente C ++ original que está reemplazando... / ...y seguro para la memoria.

Google ha revelado que una vulnerabilidad en Android permitió a los hackers tomar el control de la cámara de nuestro dispositivo, pudiendo capturar fotos o grabar vídeo sin nuestro consentimiento. Por si fuera poco, esto también funcionaba incluso cuando la pantalla estaba apagada. Este bug fue descubierto en pasado mes de julio por la compañía de ciberseguridad Checkmarx, y los resultados de su investigación fueron publicados el martes pasado en Ars Technica.

Check Point Software Technologies, proveedor especializado en ciberseguridad, ha descubierto una serie de vulnerabilidades críticas en Qualcomm TrustZone que podrían provocar, entre otras cosas, fugas de datos protegidos y el robo de información y credenciales de pago móvil. Qualcomm TrustZone es una extensión de seguridad integrada por ARM en el procesador Cortex-A. Casi la mitad de todos los smartphones del mundo utilizan la tecnología de los procesadores Qualcomm

El 5G ha empezado a llegar a decenas de países este mismo 2019. En España ha sido Vodafone el primer operar en ofrecer esta conectividad de alta velocidad y bajísima latencia. Este nuevo estándar es también más seguro, pero un grupo de investigadores ha descubierto hasta 11 vulnerabilidades en él, donde algunas afectan también al 4G y a versiones anteriores de conectividad móvil.

Zombieload v2 es una nueva vulnerabilidad descubierta en procesadores de Intel cuyo parche hace que tu CPU pierda rendimiento.

El pasado 23 de octubre se lanzaba la versión estable de Google Chrome 78. Esta llegaba con la posibilidad de forzar el modo oscuro en cualquier web y otras mejoras, además de cerrar varios agujeros de seguridad. Sin embargo, la compañía no ha tardado en lanzar una actualización urgente para esta versión de su navegador. Esto se debe a que han encontrado dos vulnerabilidades muy graves que están siendo aprovechadas por ciberdelincuentes para atacar a los usuarios. Por todo esto, corre y actualiza Google Chrome lo antes posible. Google Chrome 7

Ningún sistema operativo es inmune a tener fallos de seguridad. Incluso aquellos de código abierto como Android se ven afectados por diversos fallos que se descubren constantemente a pesar de que hay miles de personas revisando su código. Aunque sistemas como Android sean cada vez más seguros, seguirá habiendo vulnerabilidades, y una compañía ha recopilado cuáles son las más graves que podemos sufrir.

Un investigador de ciberseguridad publicó recientemente los detalles y prueba de concepto sobre una vulnerabilidad zero-day sin parches en phpMyAdmin, una de las aplicaciones más populares para administrar bases de datos MySQL y MariaDB.

El investigador Tal Melamed, director de seguridad y hacking ético de Protego, ha descubierto que es posible vulnerar aplicaciones instaladas en Alexa mediante la técnica de inyección SQL (SQLi en inglés) si éstas no realizan una correcta validación de datos . Lo único que tendría que hacer el usuario malicioso sería ejecutar comandos por voz (en lugar de por teclado, como es lo usual) utilizando traducciones de texto para obtener acceso a las aplicaciones con fallas de seguridad y que contienen información sensible.

La firma de seguridad AdaptiveMobile Security ha descubierto una nueva vulnerabilidad crítica llamada Simjacker que afecta a nuestros móviles revelando nuestra ubicación, pero que lo hace de una forma muy especial. No es un problema específico de Android, iOS o cualquier otra plataforma móvil, sino de las tarjetas SIM que utilizamos en cualquiera de estos terminales. Su alcance por tanto es enorme, y lo peor es que los usuarios no podemos hacer nada por solucionarlo: solo las operadoras pueden atajar el problema.

Firefox Monitor nació hace unos meses como un nuevo servicio de Mozilla que nos permite conocer si nuestras cuentas de correo se han visto comprometidas en alguna de las muchas filtraciones de datos que ocurren a diario. Debido a que Mozilla ha decidido incorporarlo en la versión 69 de Firefox, vamos a conocer mas a fondo esta herramienta que puede alertarnos y ayudar a proteger nuestra privacidad.

Steam es usado por decenas de millones de gamers en todo el mundo. La plataforma de juegos es la más popular en PC, por lo que una vulnerabilidad en ella puede ser realmente peligrosa; sobre todo porque muchos usuarios tienen asociadas sus cuentas de PayPal o tienen dinero como saldo. Ahora, tras descubrirse un fallo hace dos semanas, ahora se ha descubierto uno igual de grave.

El jailbreak parecía algo extinto en los iPhone, ya que iOS se ha vuelto cada vez más cerrado y seguro. Sin embargo, un gravísimo descuido por parte de Apple ha hecho que una vulnerabilidad haya sido “desparcheada” y los hackers hayan conseguido hacerle jailbreak a los móviles actuales con la última versión de iOS 12.4.

Se han descubierto 4 nuevas vulnerabilidades en el servicio RDP de Microsoft ( CVE-2019-1181, CVE-2019-1182, CVE-2019-1222 y CVE-2019-1226) que permite la ejecución de código remoto similar a la vulnerabilidad recientemente parechada BlueKeep. Pueden ser explotadas por atacantes remotos no autenticados para tomar el control sin que sea necesaria la interacción del usuario.

Se ha descubierto una vulnerabilidad no parcheada aún en el entorno de escritorio KDE. Afecta a las versiones 4 y 5 (KDE Plasma), y la víctima solamente necesita abrir un directorio para que el comando malicioso sea ejecutado. La vulnerabilidad se produce gracias a los ficheros «.directory», que son ficheros similares a los ficheros «desktop.ini» de Windows. En estos ficheros se especifican diferentes variables de configuración para el directorio en el que se encuentran.

A principios de julio, LibreOffice lanzó la versión 6.2.5, que aborda dos vulnerabilidades graves (CVE-2019-9848 y CVE-2019-9849). Sin embargo, según afirma el investigador de seguridad Alex Inführ, el parche para la primera vulnerabilidad ha sido omitido. La vulnerabilidad CVE-2019-9848, que aún existe en la versión más reciente, está relacionada con LibreLogo, un script de gráficos vectoriales que se envía de forma predeterminada con LibreOffice.

Cisco vendió su suite VSM a agencias gubernamentales de Estados Unidos, sabiendo que el software contaba con vulnerabilidades críticas que permiten acceso no autorizado a hackers.

Un nuevo fallo de seguridad crítico afecta al popular reproductor multimedia VLC, con una puntuación alta, la vulnerabilidad ha sido categorizada como crítica, y aunque se está trabajando en una solución de momento no hay parches disponibles.

La vulnerabilidad residía en el firmware de los productos de almacenamiento de Lenovo-EMC, también conocida como Iomega, la cual podría permitir a un usuario no autenticado acceder a archivos en recursos compartidos del NAS a través de la API, permitiendo la descarga de los mismos. La filtración, según el informe de Vertical Structure, expone que se han filtrado aproximadamente 13 mil archivos de hoja de cálculo, con un peso estimado de 36 TB. En ellos se encontraba fundamentalmente información financiera con números de tarjetas.