Después de realizar un análisis de 84.508 complementos de WordPress, los investigadores de seguridad españoles Jacinto Sergio Castillo Solana (Serchi3) y Manuel García Cárdenas (hypnito) descubrieron más de 5,000 vulnerabilidades, incluidas 4,500 fallas de inyección SQL (SQLi).

Hoy conocemos que los procesadores de Intel se ven afectados por una nueva vulnerabilidad, la cual ha sido bautizada como Load Value Injection (LVI).

Un nuevo informe de la Universidad de Graz ha señalado dos formas de aprovechar una vulnerabilidad en los procesadores de AMD (específicamente, en el predictor de caché L1D). Según este informe, dichas vulnerabilidades afectarían a todos los modelos de procesadores que han visto la luz desde 2011 a 2019, lo que incluiría a las últimas generaciones, las llamadas Zen. Dada la tendencia al alta de AMD en el mercado de los semiconductores, se espera que en el futuro crezca el interés por explotar sus artículos y se descubran más vulnerabilidades.

Un análisis de TheBestVPN basado en información de la base de datos nacional de vulnerabilidades estadounidense muestra cuáles son los sistemas operativos, navegadores y tecnologías que más vulnerabilidades han presentando en las dos últimas décadas, entre 1999 y 2019. El caso de Android parece el más problemático, pues es el segundo producto con más vulnerabilidades desde 1999, habiendo nacido hace 11.

MediaTek es el principal fabricante de los procesadores integrados en un gran número de smartphones, tabletas, altavoces, routers e incluso SmartTV que usas a diario. Según un descubrimiento realizado por miembros del foro de desarrolladores Android XDA Developers, la mayoría de los procesadores de MediaTek están afectados por una grave vulnerabilidad de seguridad desde hace 10 meses que daría el control total del dispositivo a un atacante remoto y nadie parece querer solucionarlo.

Las vulnerabilidades en Intel son el pan de cada día, pero ahora es peor, y es que el susbistema CSME de los procesadores de la compañía son vulnerables y no se puede hacer nada. Si bien este problema se detectó el año pasado y fue parcheado mediante una mitigación del sistema, ahora conocemos que esto no sirve de nada, es más, no se puede parchear, y la única posibilidad existente para resolver el problema es cambiar a un procesador de 10ª Generación, o pasar de todo y comprarte un AMD Ryzen, claro.

Investigadores de Chaitin Tech en China dieron a conocer información sobre un nuevo descubrimiento, pues han identificado una vulnerabilidad en el popular contenedor de servlets. Esta vulnerabilidad permite en la configuración predeterminada enviar una solicitud a través del puerto de red 8009 para leer el contenido de cualquier archivo del directorio de la aplicación web, incluidos los archivos de configuración y los códigos fuente de la aplicación.

En octubre de 2017 se descubría un tipo de ataque llamado KRACK que ponía en peligro el protocolo WPA2. Ahora y relacionado con aquel llega Kr00k, una grave vulnerabilidad que afecta a todos los dispositivos con capacidad WiFi que utilicen chips de Broadcom y Cypress. Es decir, millones de dispositivos móviles de marcas tan populares como Apple, Samsung o Google, muchos de ellos ya sin soporte.

Una vulnerabilidad de PayPal y Google Pay está permitiendo a hackers robar tarjetas virtuales y miles de euros de cuentas de PayPal. PayPal es uno de los sistemas de pago online más usados de todo el mundo gracias a su seguridad. Este es el motivo de que sea la web que más ataques intenta recibir en la actualidad, ya que acceder a PayPal puede ser muy rentable para un hacker. Ahora, un ataque está intentando robar dinero a quienes tengan asociada su cuenta de PayPal a Google Pay, el cual soportan más de una veintena de bancos en España.

Un total de cuatro fallos de seguridad críticos en la versión para ordenadores PC y Mac de la aplicación de mensajería WhatsApp expusieron los dispositivos de los usuarios, a los que un atacante podía acceder a través del envío de un mensaje malicioso. Las vulnerabilidades, que han sido descubiertas por los investigadores de la compañía de ciberseguridad Perimeter X, se basan en el cross-site scripting, un agujero de seguridad que permite a un tercero inyectar código Javascript o similar en una aplicación web.

Hackers informáticos chinos han usado un exploit Zero-Day del antivirus Trend Micro OfficeScan durante sus ataques contra Mitsubishi Electric.

El pasado martes, Microsoft liberó una importantísima actualización de seguridad para Windows 10 con la que se parchea una grave vulnerabilidad encontrada en este sistema y Windows Server 2016/2019. Para hacerla patente Saleem Rashid hizó un "rickrolling" doble, dado que lo que se limitó a hacer Rashid fue aprovecharse de la vulnerabilidad crítica descubierta en Windows 10 para hacer que tanto el navegador Microsoft Edge como Google Chrome falsifiquen los sitios webs de la NSA y GitHub con la verificación HTTPS incluida.

Mozilla ha lanzado en las últimas horas una actualización para parchear una vulnerabilidad crítica encontrada en Firefox. Resulta absolutamente recomendable actualizar cuanto antes mejor nuestras instalaciones de este navegador. "Ataques selectivos" se están produciendo aprovechando este exploit de día cero. Los potenciales peligros de este problema de seguridad de Firefox han llevado también al Departamento de Seguridad Nacional de los Estados Unidos a instar a los usuarios del navegador de Mozilla a actualizar la última versión.

TikTok, la popular aplicación de vídeos cortos utilizada principalmente por adolescentes y jóvenes, vuelve a estar de actualidad tras el hallazgo de la firma de ciberseguridad Check Point Research de "múltiples vulnerabilidades".

Los dispositivos de hoy se han protegido contra innumerables ataques de software, pero un nuevo exploit llamado Plundervolt utiliza medios claramente físicos para comprometer la seguridad de un chip. Al manipular la cantidad de electricidad que alimenta el chip, un atacante puede engañarlo para que revele sus secretos más íntimos. Debe tenerse en cuenta desde el principio que si bien esto no es un defecto en la escala de Meltdown o Spectre, es poderoso y único y puede conducir a cambios en la forma en que se diseñan los chips.

Andrey Konovalov un investigador de seguridad de Google publicó hace poco un informe sobre la identificación de 15 vulnerabilidades (CVE-2019-19523 – CVE-2019-19537) en los controladores USB que se ofrecen en el kernel de Linux. Esta es la tercera parte de los problemas encontrados durante las pruebas fuzzing de la pila USB en el paquete syzkaller que anteriormente, este investigador ya había informado de 29 vulnerabilidades y de las cuales ya habíamos comentado aquí en el blog.

Una nueva vulnerabilidad descubierta permite a los atacantes secuestrar conexiones VPN en Linux, FreeBSD, OpenBSD, MacOS, iOS y Android William J. Tolley conjunto con Beau Kujath y Jedidiah R. Crandall reportó en SecLists la vulnerabilidad catalogada como [CVE-2019-14899] – Inferir y secuestrar conexiones TCP tunelizadas VPN. A fecha de hoy no se ha publicado ningún parche. Esta vulnerabilidad funciona contra OpenVPN, WireGuard e IKEv2/IPSec, pero no ha sido probada a fondo contra Tor.

Microsoft sigue adelante con un ambicioso plan (Proyecto Verona) para eliminar las vulnerabilidades comunes que se esconden en el antiguo código de Windows mediante el uso de una implementación del lenguaje de programación de código abierto Rust. Algo que ya dijo en 2016 el entonces director de estrategia de Mozilla Research, Dave Herman: "Nuestras mediciones preliminares muestran que el componente Rust funciona maravillosamente y ofrece resultados idénticos al componente C ++ original que está reemplazando... / ...y seguro para la memoria.

Google ha revelado que una vulnerabilidad en Android permitió a los hackers tomar el control de la cámara de nuestro dispositivo, pudiendo capturar fotos o grabar vídeo sin nuestro consentimiento. Por si fuera poco, esto también funcionaba incluso cuando la pantalla estaba apagada. Este bug fue descubierto en pasado mes de julio por la compañía de ciberseguridad Checkmarx, y los resultados de su investigación fueron publicados el martes pasado en Ars Technica.

Check Point Software Technologies, proveedor especializado en ciberseguridad, ha descubierto una serie de vulnerabilidades críticas en Qualcomm TrustZone que podrían provocar, entre otras cosas, fugas de datos protegidos y el robo de información y credenciales de pago móvil. Qualcomm TrustZone es una extensión de seguridad integrada por ARM en el procesador Cortex-A. Casi la mitad de todos los smartphones del mundo utilizan la tecnología de los procesadores Qualcomm

El 5G ha empezado a llegar a decenas de países este mismo 2019. En España ha sido Vodafone el primer operar en ofrecer esta conectividad de alta velocidad y bajísima latencia. Este nuevo estándar es también más seguro, pero un grupo de investigadores ha descubierto hasta 11 vulnerabilidades en él, donde algunas afectan también al 4G y a versiones anteriores de conectividad móvil.

Zombieload v2 es una nueva vulnerabilidad descubierta en procesadores de Intel cuyo parche hace que tu CPU pierda rendimiento.