Como el fallo reside en tu CPU, afecta a cualquier sistema operativo, aunque aparentemente versiones modernas de Windows y Linux son la excepción. La buena noticias aquí es que a diferencia de Meltdown y Spectre, esta vulnerabilidad no reside en el hardware, así que puede se solucionada enviando parches a los diferentes sistemas operativos. Según Intel, dado que Lazy FP State Restore es similar a la variante 3A de Spectre, muchos sistemas operativos ya la han solucionado. Las versiones de Linux con el kernel 4.9 en adelante no están afectadas.

Cisco ha publicado 32 vulnerabilidades en múltiples productos, dos de las cuales tendrían severidad crítica, 12 severidad alta y 18 severidad media. Algunas de las vulnerabilidades podrían permitir el compromiso total de los equipos afectados, impactando la disponibilidad, la integridad y la confidencialidad de los mismos, así como los servicios que soportan y la información que transmiten.

La compañía de ciberseguridad Context ha denunciado que la plataforma de distribución digital de videojuegos Steam ha sufrido durante diez años una vulnerabilidad que ha permitido mediante un 'exploit' a los 'hackers' acceder a la información y controlar los ordenadores sus usuarios. Debido a la vulnerabilidad, el código de Steam era incapaz de detectar el tamaño de los 'packs' de datos que gestionaba, siendo así incapaz de localizar los casos en que se había introducido código adicional para ejecución remota.

Meltdown y Spectre llegaron a principios de año para amargarnos el inicio del 2018. Estas vulnerabilidades afectaron a los fabricantes de chips utilizados en computadoras y dispositivos móviles de todo el mundo. Ahora los investigadores de Google y Microsoft han encontrado una nueva vulnerabilidad, bautizada como Speculative Store Bypass (variante 4), que afecta a procesadores fabricados por Intel, ARM, IBM y AMD. Curiosamente, esta información se reveló hace unos días en una revista alemana, y hace unas horas se confirmaba.

Adobe ha publicado actualizaciones de seguridad para múltiples vulnerabilidades en sus productos de lectura y tratamiento de archivos PDF, Adobe Reader y Adobe Acrobat, en las versiones para Windows y MacOS. La marca las ha lanzado de forma prioritaria, consciente de que es uno de los formatos más populares y utilizados por todo el mundo. Diversas de estas vulnerabilidades se consideran criticas porque permitirían a un atacante ejecutar código en el sistema de la víctima, con tan sólo abrir un archivo PDF especialmente diseñado.

El informe menciona dos ataques. El ataque "Direct Exfiltration" envuelve el cuerpo de un correo electrónico cifrado con PGP alrededor de una etiqueta de imagen. Si el cliente de correo descifra automáticamente este correo electrónico, el resultado será una solicitud a una URL que contenga el texto del correo electrónico descifrado. El segundo ataque solo funciona una de cada tres veces. Las estrategias de mitigación consisten en no descifrar el correo electrónico en el cliente de forma automatica...

El causante sería el VBScript engine de Windows. El usuario puede acabar siendo víctima de diferentes maneras: al acceder a una web maliciosa mediante el navegador Internet Explorer (IE); al abrir un documento Office especialmente diseñado; o al acceder a webs legítimas, pero que ofrecen contenidos suministrados por los usuarios o anuncios externos.

7-Zip es un conocido software gratuito y de código libre para la gestión de archivos que lleva entre nosotros mucho tiempo, cerca de dos décadas para ser exactos. Su código base es sencillo, funciona muy bien y el hecho de que no sea de pago lo hace una aplicación muy recomendable. Por desgracia, el Center for Internet Security ha descubierto que presenta una grave vulnerabilidad de seguridad que permite la ejecución de “código arbitrario”.

Una nueva vulnerabilidad afecta al gestor de contenidos Drupal, permitiendo que un atacante ejecute código arbitrario en el sistema de destinación. Esta está relacionada con la vulnerabilidad publicada el pasado mes de marzo. El impacto es crítico porque afecta el núcleo de Drupal de las versiones 7.x y 8.x. Además, el equipo de seguridad de la empresa ha constatado ataques para explotar esta vulnerabilidad, cinco horas después de liberar el parche.

Oracle ha publicado una actualización crítica que proporciona parches para múltiples familias de productos de la marca, incluyendo Oracle Database Server, Oracle Fusion Middleware, Oracle E-Business Suite, Oracle PeopleSoft,Oracle Java SE y Oracle Systems Products Suite. Concretamente, la actualización contiene 254 vulnerabilidades, algunas de las cuales permiten a un atacante remoto tomar el control de un sistema afectado

Las nuevas tecnologías han contribuido a una mayor eficiencia de los procesos de producción, administración y gestión de las empresas, pero también las ha expuesto a un escenario de aumento de las amenazas, donde los ciberatacantes parecen tener el terreno abonado para manipular datos, impactar en la reputación o explotar las vulnerabilidades para ganar dinero. En este contexto, el Centre de Seguretat de la Informació de Cataluña (CESICAT) ha publicado una documento sobre ciberseguridad industrial, con el objetivo de concienciar a las empresas.

Cinco vulnerabilidades críticas en el Windows Graphics Component permiten que un atacante tome el control de tu sistema. El usuario sólo tiene que abrir un fichero malicioso o visitar una página web especialmente diseñada. El impacto es crítico porque afecta a todos los sistemas Microsoft Windows modernos. Los expertos de seguridad recomiendan aplicar la actualización de seguridad publicada por Microsoft.

Facebook quiere poner a algunos de sus más de dos millones de usuarios a trabajar para la plataforma en forma de programa de recompensas, ofreciendo interesantes sumas de dinero para aquellos que sean capaces de encontrar malos usos en cuanto a la privacidad y los datos por parte de terceros.

Tres vulnerabilidades críticas en el gestor de software IOS e IOS XE de la marca Cisco han dejado al descubierto a más de 250.000 dispositivos. Este software permite comunicaciones seguras entre diferentes dispositivos, con servicios como cifrado, autenticación, capacidades como cortafuegos o proxy.

¿Tienes Windows Defender? Pues mejor que apliques las actualizaciones de Microsoft porque permite que un atacante tome el control de tu equipo. Para conseguirlo, fuerza el componente a que analice un fichero especialmente preparado, algo inmediato si la Protección en tiempo real está activada.

Una vulnerabilidad crítica en Drupal, uno de los gestores de contenidos más importantes de Internet, permite que un atacante remoto ejecute código arbitrario en el sistema de destinación. El error, que ya acumula más de un millón de afectados en Internet, hace que el sitio web quede completamente comprometido.

Los parches que liberó Microsoft para poder superar estas vulnerabilidades en su sistema operativo Windows 7, permite que cualquier atacante no autorizado, con privilegios de Usuario, pueda leer y escribir datos de la memoria del Kernel del Sistema Operativo.

Trece vulnerabilidades críticas de seguridad y backdoors del fabricante han sido descubiertas en las lineas de producto Ryzen y EPYC de AMD. Esta página muestra información detallada de qué tipo de vulnerabilidades y de qué modelos tienen cual vulnerabilidad(es). Aunque no sepas inglés, tiene un video bastante chulo que lo explica bastante visualmente.

Investigadores encuentran 13 vulnerabilidades para los chips de AMD EPYC y Ryzen, que permitirían ser explotadas para instalar malware en zonas seguras del procesador.

Oracle ha liberado parches para diez vulnerabilidades en VirtualBox que permiten a los atacantes escapar de los sistemas operativos huéspedes y atacar el sistema operativo anfitrión en el que se ejecuta VirtualBox. Los exploits que utilizan este método, conocido como "fuga de máquina virtual", han sido objeto de un intenso interés entre los investigadores de seguridad tras la revelación de la vulnerabilidad de Venom en 2015.